• Aucun résultat trouvé

Atelier A10 Quelle(s) place(s) pour le Risk Management dans un projet de transformation SI?

N/A
N/A
Protected

Academic year: 2022

Partager "Atelier A10 Quelle(s) place(s) pour le Risk Management dans un projet de transformation SI?"

Copied!
38
0
0

Texte intégral

(1)

1

Atelier A10

Quelle(s) place(s) pour le Risk

Management dans un projet de

transformation SI ?

(2)

Intervenants

Modérateur

Pascal LOINTIER CLUSIF (Club de la Sécurité de l’Information Français) Président

pascal.lointier@clusif.asso.fr

Sébastien RIMBERT Ernst & Young

Senior Manager Risk Advisory sebastien.rimbert@fr.ey.com

François BEAUME Dalkia Responsable du Département Risk Management fbeaume@dalkia.com

(3)

3

Quoi ?

Les sujets SI dans lesquels le Risk Manager est, où peut être, impliqué.

Qui ?

Qui seront ses interlocuteurs ?

Quel rôle ?

Quelle valeur ajoutée du Risk Management dans ce/ces process ?

Objectifs de l’Atelier

(4)

Trois catégories de Risk Manager

« AP » regroupant ceux en charge des activités d’Assurance et de Prévention.

« ERM » englobe ceux qui sont tournés vers la Gestion Globale des Risques, y compris ceux dédiant une part significative de leur temps au contrôle interne.

« AP & ERM » concerne les personnes dont l’activité est à la fois orientée vers l’Assurance et la Prévention et vers la

Gestion Globale des Risques.

Risk Managers : quels profils ?

(5)

5

Quel(s) SI ?

Quelle(s) transformation(s) ?

Quelques exemples :

- Migration d’un ancien système vers un ERP (PGI : Progiciel de Gestion Intégré),

- Externalisation vers le Cloud,

- Numérisation des automates de production industrielle, - Services généraux sur IP,

- …/…

Le Système d’Information (SI)

(6)

… ou les Systèmes d’informations historiques :

 Management

 Infogérance/Externalisation (dont CLOUD)

 Téléphonie (IPBX)

 Services Généraux

 Production/Régulation

 BYOD (Bring Your Own Device), équipement possédé par l’employé

 Biomédical, équipement embarqué sur l’employé 

Le Système d’Information (SI)

(7)

7

Ouverture de serrures à distance

Services Généraux sur IP

Clonage de badge sans contact

Arrêt de la

ventilation Brouillage ou

modification d’angle de

vidéosurveillance Brouillage GSM (GPS de

géolocalisation) Destruction du groupe

électrogène

(8)

« SCADA » et réseaux industriels

Production

Régulation

Signalisation

Configuration

TCP/IP (un des protocoles d’Internet)

Ethernet (un des protocole de « réseau local »

Systèmes d’exploitation standards (Win-CE, Linux)

Accès maintenance à

distance (via modem mais le plus souvent via

Internet)

M2M (dialogue directement entre machines)

Houston (E-U), 2011 : hacking de la gestion de l’eau de la ville, capture d’écran comme preuve

(9)

9

Différents SI et acteurs impliqués

Acteurs SI Projet de mise en place d’ERP

Projet de mise en

place d’un SIGR Cloud SI de production Responsable(s)

métier(s)

4 4 4

DSI

4 4

DJ/CIL

4 4 4

RSSI

4 4

Contrôle Interne

4

Services généraux –

Sécurité

4 4

…/…

Zones d’intervention du Risk Management sur une problématique SI et ce quelque soit l’acteur, le SI ou son rôle (ERM, AP, les 2).

4

(10)

RM et RSSI

Deux métiers s’unissent pour la gestion des risques liés au SI

Commission Systèmes d’Information de

l’AMRAE en partenariat avec le CLUSIF (Club de la Sécurité de l’Information Français)

En savoir plus

(11)

11

Son implication peut se décliner sous les rôles, non exclusifs, suivants :

Contributeur :

Participe au projet (mise en sécurité, transformation, etc.) notamment par la réalisation d’analyse des risques

Demandeur :

Mise en adéquation du plan d’assurance par rapport à l’évolution de l’exposition

Consulté :

Financement de la crise et du plan de reprise

Prescripteur :

Impose un niveau de sécurité, le respect de conformités (internes/externes)

Valideur :

Adéquation des procédures de sécurité par rapport aux exigences de conformité

Types de rôles du Risk Manager

(12)

… du rôle et des relations du Risk Manager avec les différents acteurs SI impliqués au travers de 4 zooms :

#1 - Mise en place d’un ERP

#2 - Cloud & sécurité physique

#3 - Intrusion & réglementaire

#4 - Mise en place d’un SIGR

Quelques illustrations …

(13)

Atelier A10 13

La place du Risk Manager dans un projet de transformation SI

Zoom #1 :

L’exemple de la mise en place d’un ERP

(14)

RISK MANAGER

•Risques associés au projet SI

•Intégration de la dimension

« risque » dans la conception d’un ERP

•Méthodologie ERM

•Cartographie des risques utilisée comme un des outils de pilotage du projet

Niveaux d’implication

Valeur ajoutée du risk manager

•Apporter un prisme risque / contrôle souvent mal

appréhendé

Un rôle clé à jouer par le Risk Manager

(15)

15

Intégration de la dimension

« risque » dans le projet SI

Analyse des risques du projet

Traitement des risques

Pilotage et suivi 1

2

3

Principales étapes Valeur ajoutée du Risk Manager

Vision « large » des risques (stratégique, opérationnel, financier, humain, gestion de projet)

Apport de méthodologie (identification et hiérarchisation des risques)

Apport de méthodologie : définition du niveau d’appétence aux risques et choix de la stratégie de traitement des risques

Apport d’outils (ex : tableau de bord de suivi des risques)

Risques associés au projet SI

(16)

Intégration de la dimension «risque »

dans la conception d’un ERP

(17)

17

La place du Risk Manager dans un projet de transformation SI

Zoom #2 :

Cloud & sécurité physique

(18)

Atelier A10 18

Tendances

– Virtualisation

La virtualisation comme un ensemble de techniques matérielles et/ou logicielles qui permettent de faire fonctionner sur une seule machine plusieurs systèmes d'exploitation et/ou plusieurs applications,

séparément les uns des autres, comme s'ils fonctionnaient sur des machines physiques distinctes (Wikipedia)

– Cloud computing

L'« informatique dans les nuages » permet aux entreprises de réduire leurs coûts en délocalisant leurs contenus et en utilisant des

applications à distance. Mais « c'est un cauchemar pour la sécurité et elle ne peut pas être traitée par les méthodes

traditionnelles », a estimé John Chambers, PDG de Cisco (01net, 27/04/2009)

CLOUD : haute indisponibilité… parfois !

(19)

19

CLOUD : haute indisponibilité… parfois !

- Haute disponibilité

La haute disponibilité est un terme souvent utilisé en informatique, à propos d'architecture de système ou d'un service pour désigner le fait que cette architecture ou ce service a un taux de

disponibilité convenable (wikipedia)

Pour mesurer la disponibilité, on utilise souvent un pourcentage essentiellement composé de '9' :

99% désigne le fait que le service est indisponible moins de 3,65 jours par an

99,9%, moins de 8,75 heures par an

99,99%, moins de 52 minutes par an

99,999%, moins de 5,2 minutes par an

99,9999%, moins de 54,8 secondes par an

99,99999%, moins de 3,1 secondes par an

Etc.

Et pourtant…

(20)

Variétés d’incidents

Panne électrique (UPS) et crash disques au redémarrage

Feu électrique, destruction du générateur de secours et de l’UPS, commutateurs électriques, etc.

Mise à jour corrective qui bogue

Mauvaise configuration du routage entre 2 Data Center

Attaque en DDoS ciblant des ressources DNS dans un Data Center spécifique

…

Haute indisponibilité… parfois !

(21)

21

Des effets secondaires

Temps de redémarrage des serveurs

Crash des disques

Destruction par incendie, le reste par inondation pour extinction…

Pénalités (Rackspace contraint de payer entre 2,5 et 3,5 millions de dollars à ses Clients)

Saisie des serveurs (FBI chez Core IP Networks, Texas)

Perte de contrats (prestataire mais aussi pour l’entreprise commerciale vis-à-vis de ses propres clients)

Twitter « interdit » de mise à jour par une Administration le dimanche de juin d’une élection (2009)…

…

Haute indisponibilité… parfois !

(22)

Les machines virtuelles 

(23)

Atelier A10 23

Vélizy, 2011, construction d’une ligne de tramway

Un chantier comme les autres…

La seule fibre optique : le secours en boucle était planifié …après les travaux de voirie

(24)

Des opérateurs touchés

Le site d’un hébergeur dans le noir

Et des organisations fortement impactées

(coupure/bascule PRA)

: 250.000 euros de perte, 120 personnes au chômage technique

Des impacts immédiats

(25)

25

L'infogérance : externalisation de services informatiques et gestion des risques

Commission Systèmes d’Information de

l’AMRAE en partenariat avec le CLUSIF (Club de la Sécurité de l’Information Français)

Cahier technique disponible en téléchargement sur les sites :

www.amrae.fr www.clusif.asso.fr

Zoom #2 – En savoir plus

(26)

La place du Risk Manager dans un projet de transformation SI

Zoom #3 :

L’intrusion et la réglementation

(27)

Atelier A10 27

Début avril, Anonymous réclame le droit au débridage (jailbreak) de la PS3. Il souhaite aussi l’arrêt des poursuites à l’encontre de Georges Hotz (pseudo GeoHot).

Entre le 16 avril et le 19 juin, plus de 20 attaques sont référencées. Plus de 100 millions d’individus voient leurs données personnelles détournées.

Le 23 mai, en pleine période de crise, Sony annonce déjà une enveloppe de $170 million (14 billions de yen) pour répondre aux

attaques.

L’un des nombreux messages des Anonymous à Sony

Hacktivisme et Sony

(28)

11 mars 2011 (tremblement de terre &

tsunami)

Sony PSN Offline

Rumeur de piratage

05

06

10

12/13

17/19

21 Sony PSN Online

SONY (SON1.MU)

Médiatiquement, la variation de cours

(29)

29

Les premiers impacts

 Remise en état du système

 Gestion des fraudes aux cartes (buzz à propos du black market)

 Durcissement de la sécurité (Sony était conforme PCI-DSS…)

 Embauche d’un RSSI Groupe

 Mais aussi/surtout des poursuites :

 class action,

 pénalités,

 préjudices subis

 …estimation à 122 millions USD

(30)

Les impacts, suite

Source : Jean-Laurant Santoni, Gras Savoye, journée cybercriminalité, UCL, Lille, 2011

(31)

31

La place du Risk Manager dans un projet de transformation SI

Zoom #4 :

La mise en place d’un Système d’Information

de Gestion des Risques (SIGR)

(32)

Quelles fonctionnalités attendre ? Quels enjeux?

Progiciel adapté

Formaliser, homogénéiser et pérenniser une base de connaissance dans un outil

unique

Sécuriser et tracer les données de manière fiable

et centralisée

Consacrer moins de temps à la consolidation des données et

plus de temps à l’analyse Faciliter la comparaison pluriannuelle de l’exposition aux

risques et suivre son évolution

Formalisation / Gestion des référentiels

Evaluation des risques (cartographie) – Risque inhérent /

résiduel / cible

Traitement des risques (gestion et suivi des plans d’action)

Collecte et suivi des incidents

Rapports pré-formatés, tableaux

Bénéfices d’un SIGR pour le Risk Manager

(33)

33

Formation des utilisateurs sur les concepts métiers.

Assistance aux formations outil.

Assistance à la conduite de changement

Analyse des besoins et rédaction du cahier des charges.

Identification des acteurs clefs

Préparation d’une grille d’analyse et soutenance des éditeurs.

Quelle solution est la plus adaptée à mes besoins particuliers?

Les besoins sont-ils correctement spécifiés et intégrés dans la solution?

Animation d’ateliers de spécifications fonctionnelles.

Rédaction des spécifications fonctionnelles.

Rédaction du cahier de tests fonctionnels.

Assistance aux tests fonctionnels.

La conduite de changement est-elle optimale?

Phase 1 Phase 2 Phase 3

Management de projet Management de projet

Sélection de la solution Déploiement

Une implication clé du Risk Manager …

… à chacune des phases de mise en place du SIGR !

(34)

Panorama des SIGR 2012

Cahier technique disponible en

téléchargement sur le site www.amrae.fr

Première présentation :

Aujourd’hui, 12h30, Espace animation de l’AMRAE.

Zoom#4 – En savoir plus

(35)

35

Quel rôle ?

La valeur ajoutée du Risk Management (et de facto du Risk

Manager) dans ces process est maximisée si elle s’accompagne notamment :

- d’un apport de méthode (analyse, appréciation, suivi des incidents, etc.),

- de l’apport d’un éclairage alternatif par les risques, souvent peu ou mal appréhendé,

- d’une sensibilisation au risque et à son traitement.

En synthèse …

(36)

Quoi ?

Le Risk Manager peut, et doit, s’impliquer dans les sujets SI car le SI n’est ni :

- un sujet propriétaire, - purement technique.

En revanche c’est sujet encore nouveau et très évolutif : le coût d’acquisition (compréhension du sujet, du vocabulaire, etc.) pour le Risk Manager peut sembler élevé mais est

désormais nécessaire.

En synthèse …

(37)

37

Pour la partie Assurance, le Risk Manager à besoin de

fournisseurs et partenaires ayant la même compréhension que lui des enjeux associés, et de fait des offres adaptées.

Où en sont sur ces sujets les :

- assureurs & réassureurs ? - courtiers ?

- experts d’assuré et d’assureur ?

Des points de contrôle « classiques » mais toujours valables dans ce nouveau contexte :

- libellé des définitions

- définition du périmètre (du SI, etc.) - analyse technique de l’exposition

Des questionnements subsistent …

(38)

Merci !

La présentation sera en ligne dès la semaine prochaine sur

www.amrae.fr

Références

Documents relatifs

code civil du canton de Soleure contenait la disposition suivante: « Les parents peuvent faire opposition au mariage de leurs enfants majeurs, s’ils prouvent que dans le cas

donnons 200 fr. pour loyer, vêtements et autres besoins, il reste toujours en- core 100 fr., que dans ces circonstances un homme économe devrait mettre de côté

Il ignore également que la pauvreté est directement en lien avec le patriar- cat: deux tiers des personnes divorcées à l’aide sociale économique sont des femmes, ce qui

Objet : Personne physique pour son expérience et ses connaissances Reconnaissance : Certification. Type d’évaluation : Examen Méthode

Cependant, si la littérature, reconnait la vulnérabilité des Supply Chains Internationales et les risques auxquels elles sont exposées, il est cependant étonnant, de

• On peut imaginer que le projet permette à Sofiane de s’approprier les notions en lien avec sa question de grand oral :. o Critères de choix

 Les  choix  effectués  quant   aux  solutions  logicielles  retenues  seront  explicités

c'est une relation entre les £/, £y : il existera ainsi entre ces quantités une infinité de relations, mais il est clair qu'elles ne seront pas toutes distinctes.. Dans la pratique,