1
Atelier A10
Quelle(s) place(s) pour le Risk
Management dans un projet de
transformation SI ?
Intervenants
Modérateur
Pascal LOINTIER CLUSIF (Club de la Sécurité de l’Information Français) Président
pascal.lointier@clusif.asso.fr
Sébastien RIMBERT Ernst & Young
Senior Manager Risk Advisory sebastien.rimbert@fr.ey.com
François BEAUME Dalkia Responsable du Département Risk Management fbeaume@dalkia.com
3
Quoi ?
Les sujets SI dans lesquels le Risk Manager est, où peut être, impliqué.
Qui ?
Qui seront ses interlocuteurs ?
Quel rôle ?
Quelle valeur ajoutée du Risk Management dans ce/ces process ?
Objectifs de l’Atelier
Trois catégories de Risk Manager
« AP » regroupant ceux en charge des activités d’Assurance et de Prévention.
« ERM » englobe ceux qui sont tournés vers la Gestion Globale des Risques, y compris ceux dédiant une part significative de leur temps au contrôle interne.
« AP & ERM » concerne les personnes dont l’activité est à la fois orientée vers l’Assurance et la Prévention et vers la
Gestion Globale des Risques.
Risk Managers : quels profils ?
5
Quel(s) SI ?
Quelle(s) transformation(s) ?
Quelques exemples :
- Migration d’un ancien système vers un ERP (PGI : Progiciel de Gestion Intégré),
- Externalisation vers le Cloud,
- Numérisation des automates de production industrielle, - Services généraux sur IP,
- …/…
Le Système d’Information (SI)
… ou les Systèmes d’informations historiques :
Management
Infogérance/Externalisation (dont CLOUD)
Téléphonie (IPBX)
Services Généraux
Production/Régulation
BYOD (Bring Your Own Device), équipement possédé par l’employé
Biomédical, équipement embarqué sur l’employé
Le Système d’Information (SI)
7
Ouverture de serrures à distance
Services Généraux sur IP
Clonage de badge sans contact
Arrêt de la
ventilation Brouillage ou
modification d’angle de
vidéosurveillance Brouillage GSM (GPS de
géolocalisation) Destruction du groupe
électrogène
« SCADA » et réseaux industriels
Production
Régulation
Signalisation
Configuration
TCP/IP (un des protocoles d’Internet)
Ethernet (un des protocole de « réseau local »
Systèmes d’exploitation standards (Win-CE, Linux)
Accès maintenance à
distance (via modem mais le plus souvent via
Internet)
M2M (dialogue directement entre machines)
Houston (E-U), 2011 : hacking de la gestion de l’eau de la ville, capture d’écran comme preuve
9
Différents SI et acteurs impliqués
Acteurs SI Projet de mise en place d’ERP
Projet de mise en
place d’un SIGR Cloud SI de production … Responsable(s)
métier(s)
4 4 4
DSI
4 4
DJ/CIL
4 4 4
RSSI
4 4
Contrôle Interne
4
Services généraux –
Sécurité
4 4
…/…
Zones d’intervention du Risk Management sur une problématique SI et ce quelque soit l’acteur, le SI ou son rôle (ERM, AP, les 2).
4
RM et RSSI
Deux métiers s’unissent pour la gestion des risques liés au SI
Commission Systèmes d’Information de
l’AMRAE en partenariat avec le CLUSIF (Club de la Sécurité de l’Information Français)
En savoir plus
11
Son implication peut se décliner sous les rôles, non exclusifs, suivants :
Contributeur :
Participe au projet (mise en sécurité, transformation, etc.) notamment par la réalisation d’analyse des risques
Demandeur :
Mise en adéquation du plan d’assurance par rapport à l’évolution de l’exposition
Consulté :
Financement de la crise et du plan de reprise
Prescripteur :
Impose un niveau de sécurité, le respect de conformités (internes/externes)
Valideur :
Adéquation des procédures de sécurité par rapport aux exigences de conformité
Types de rôles du Risk Manager
… du rôle et des relations du Risk Manager avec les différents acteurs SI impliqués au travers de 4 zooms :
#1 - Mise en place d’un ERP
#2 - Cloud & sécurité physique
#3 - Intrusion & réglementaire
#4 - Mise en place d’un SIGR
Quelques illustrations …
Atelier A10 13
La place du Risk Manager dans un projet de transformation SI
Zoom #1 :
L’exemple de la mise en place d’un ERP
RISK MANAGER
•Risques associés au projet SI
•Intégration de la dimension
« risque » dans la conception d’un ERP
•Méthodologie ERM
•Cartographie des risques utilisée comme un des outils de pilotage du projet
Niveaux d’implication
Valeur ajoutée du risk manager
•Apporter un prisme risque / contrôle souvent mal
appréhendé
Un rôle clé à jouer par le Risk Manager
15
Intégration de la dimension
« risque » dans le projet SI
Analyse des risques du projet
Traitement des risques
Pilotage et suivi 1
2
3
Principales étapes Valeur ajoutée du Risk Manager
Vision « large » des risques (stratégique, opérationnel, financier, humain, gestion de projet)
Apport de méthodologie (identification et hiérarchisation des risques)
Apport de méthodologie : définition du niveau d’appétence aux risques et choix de la stratégie de traitement des risques
Apport d’outils (ex : tableau de bord de suivi des risques)
Risques associés au projet SI
Intégration de la dimension «risque »
dans la conception d’un ERP
17
La place du Risk Manager dans un projet de transformation SI
Zoom #2 :
Cloud & sécurité physique
Atelier A10 18
Tendances
– Virtualisation
La virtualisation comme un ensemble de techniques matérielles et/ou logicielles qui permettent de faire fonctionner sur une seule machine plusieurs systèmes d'exploitation et/ou plusieurs applications,
séparément les uns des autres, comme s'ils fonctionnaient sur des machines physiques distinctes (Wikipedia)
– Cloud computing
L'« informatique dans les nuages » permet aux entreprises de réduire leurs coûts en délocalisant leurs contenus et en utilisant des
applications à distance. Mais « c'est un cauchemar pour la sécurité et elle ne peut pas être traitée par les méthodes
traditionnelles », a estimé John Chambers, PDG de Cisco (01net, 27/04/2009)
CLOUD : haute indisponibilité… parfois !
19
CLOUD : haute indisponibilité… parfois !
- Haute disponibilité
La haute disponibilité est un terme souvent utilisé en informatique, à propos d'architecture de système ou d'un service pour désigner le fait que cette architecture ou ce service a un taux de
disponibilité convenable (wikipedia)
Pour mesurer la disponibilité, on utilise souvent un pourcentage essentiellement composé de '9' :
– 99% désigne le fait que le service est indisponible moins de 3,65 jours par an
– 99,9%, moins de 8,75 heures par an
– 99,99%, moins de 52 minutes par an
– 99,999%, moins de 5,2 minutes par an
– 99,9999%, moins de 54,8 secondes par an
– 99,99999%, moins de 3,1 secondes par an
– Etc.
Et pourtant…
Variétés d’incidents
Panne électrique (UPS) et crash disques au redémarrage
Feu électrique, destruction du générateur de secours et de l’UPS, commutateurs électriques, etc.
Mise à jour corrective qui bogue
Mauvaise configuration du routage entre 2 Data Center
Attaque en DDoS ciblant des ressources DNS dans un Data Center spécifique
…
Haute indisponibilité… parfois !
21
Des effets secondaires
Temps de redémarrage des serveurs
Crash des disques
Destruction par incendie, le reste par inondation pour extinction…
Pénalités (Rackspace contraint de payer entre 2,5 et 3,5 millions de dollars à ses Clients)
Saisie des serveurs (FBI chez Core IP Networks, Texas)
Perte de contrats (prestataire mais aussi pour l’entreprise commerciale vis-à-vis de ses propres clients)
Twitter « interdit » de mise à jour par une Administration le dimanche de juin d’une élection (2009)…
…
Haute indisponibilité… parfois !
Les machines virtuelles
Atelier A10 23
Vélizy, 2011, construction d’une ligne de tramway
Un chantier comme les autres…
La seule fibre optique : le secours en boucle était planifié …après les travaux de voirie
Des opérateurs touchés
Le site d’un hébergeur dans le noir
Et des organisations fortement impactées
(coupure/bascule PRA): 250.000 euros de perte, 120 personnes au chômage technique
…
Des impacts immédiats
25
L'infogérance : externalisation de services informatiques et gestion des risques
Commission Systèmes d’Information de
l’AMRAE en partenariat avec le CLUSIF (Club de la Sécurité de l’Information Français)
Cahier technique disponible en téléchargement sur les sites :
www.amrae.fr www.clusif.asso.fr
Zoom #2 – En savoir plus
La place du Risk Manager dans un projet de transformation SI
Zoom #3 :
L’intrusion et la réglementation
Atelier A10 27
Début avril, Anonymous réclame le droit au débridage (jailbreak) de la PS3. Il souhaite aussi l’arrêt des poursuites à l’encontre de Georges Hotz (pseudo GeoHot).
Entre le 16 avril et le 19 juin, plus de 20 attaques sont référencées. Plus de 100 millions d’individus voient leurs données personnelles détournées.
Le 23 mai, en pleine période de crise, Sony annonce déjà une enveloppe de $170 million (14 billions de yen) pour répondre aux
attaques.
L’un des nombreux messages des Anonymous à Sony
Hacktivisme et Sony
11 mars 2011 (tremblement de terre &
tsunami)
Sony PSN Offline
Rumeur de piratage
05
06
10
12/13
17/19
21 Sony PSN Online
SONY (SON1.MU)
Médiatiquement, la variation de cours
29
Les premiers impacts
Remise en état du système
Gestion des fraudes aux cartes (buzz à propos du black market)
Durcissement de la sécurité (Sony était conforme PCI-DSS…)
Embauche d’un RSSI Groupe
Mais aussi/surtout des poursuites :
class action,
pénalités,
préjudices subis
…estimation à 122 millions USD
Les impacts, suite
Source : Jean-Laurant Santoni, Gras Savoye, journée cybercriminalité, UCL, Lille, 2011
31
La place du Risk Manager dans un projet de transformation SI
Zoom #4 :
La mise en place d’un Système d’Information
de Gestion des Risques (SIGR)
Quelles fonctionnalités attendre ? Quels enjeux?
Progiciel adapté
Formaliser, homogénéiser et pérenniser une base de connaissance dans un outil
unique
Sécuriser et tracer les données de manière fiable
et centralisée
Consacrer moins de temps à la consolidation des données et
plus de temps à l’analyse Faciliter la comparaison pluriannuelle de l’exposition aux
risques et suivre son évolution
Formalisation / Gestion des référentiels
Evaluation des risques (cartographie) – Risque inhérent /
résiduel / cible
Traitement des risques (gestion et suivi des plans d’action)
Collecte et suivi des incidents
Rapports pré-formatés, tableaux
Bénéfices d’un SIGR pour le Risk Manager
33
►Formation des utilisateurs sur les concepts métiers.
►Assistance aux formations outil.
►Assistance à la conduite de changement
►Analyse des besoins et rédaction du cahier des charges.
►Identification des acteurs clefs
►Préparation d’une grille d’analyse et soutenance des éditeurs.
Quelle solution est la plus adaptée à mes besoins particuliers?
Les besoins sont-ils correctement spécifiés et intégrés dans la solution?
► Animation d’ateliers de spécifications fonctionnelles.
►Rédaction des spécifications fonctionnelles.
►Rédaction du cahier de tests fonctionnels.
►Assistance aux tests fonctionnels.
La conduite de changement est-elle optimale?
Phase 1 Phase 2 Phase 3
Management de projet Management de projet
Sélection de la solution Déploiement
Une implication clé du Risk Manager …
… à chacune des phases de mise en place du SIGR !
Panorama des SIGR 2012
Cahier technique disponible en
téléchargement sur le site www.amrae.fr
Première présentation :
Aujourd’hui, 12h30, Espace animation de l’AMRAE.
Zoom#4 – En savoir plus
35
Quel rôle ?
La valeur ajoutée du Risk Management (et de facto du Risk
Manager) dans ces process est maximisée si elle s’accompagne notamment :
- d’un apport de méthode (analyse, appréciation, suivi des incidents, etc.),
- de l’apport d’un éclairage alternatif par les risques, souvent peu ou mal appréhendé,
- d’une sensibilisation au risque et à son traitement.
En synthèse …
Quoi ?
Le Risk Manager peut, et doit, s’impliquer dans les sujets SI car le SI n’est ni :
- un sujet propriétaire, - purement technique.
En revanche c’est sujet encore nouveau et très évolutif : le coût d’acquisition (compréhension du sujet, du vocabulaire, etc.) pour le Risk Manager peut sembler élevé mais est
désormais nécessaire.
En synthèse …
37