Advens - congrès du cesin 2015

537 vues

Publié le

Le plan d’audit à l’épreuve du SI éparpillé

Publié dans : Business
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
537
Sur SlideShare
0
Issues des intégrations
0
Intégrations
173
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • - Le plan d’audit doit tout couvrir : pour traiter tous les cas de figure, dans toutes les conditions de budget, de planning et de maitrise technique
  • Auto-évaluation :
    - Aller plus loin que les fameuses clauses contractuelles pour gérer le cloud.
    Enrichir la démarche avec une auto-évaluation
    Stratégie d’externalisation
    - Formaliser les critères pour « cloudifier » un service
    - En profiter pour cadrer toutes les formes d’externalisation
  • Auditer les usages et non pas les infrastructures
    - Pour des services comme Google Apps ou O365, les solutions dédiées (Elastica, Cloudlock, etc.) proposent des contrôles des usages, à préférer si l’infrastructure est trop grosse pour être challengée.
    Un drive ouvert au public fera plus de dégâts qu’un patch manquant sur le 2143ème serveur de Google.
    Savoir challenger petits et grands projets
    - Un audit de partenaire révélera toujours quelques non-conformités.
    - Peut-on être compréhensif ? Faut-il laisser une chance aux partenaires en défaut ?

  • Faire évaluer la sensibilité par le porteur du projet
    Impliquer les métiers au plus tôt dans cette évaluation
    Décliner la bonne approche selon la sensibilité
    - Adapter l’ampleur de la démarche
    - Profiter des bonnes volontés pour aller plus loin
  • Faire évaluer la sensibilité par le porteur du projet
    - Générer les logs et les analyser
    - Scanner et traiter les vulnérabilités
    - Déployer un SOC
    Renforcer la sécurité des applications
    - Sensibiliser et former les développeurs
    - Intégrer la sécurité et la revue de code au cœur de la chaine de développement
  • Faire évaluer la sensibilité par le porteur du projet
    - S’intégrer dans les bonnes méthodes, celles utilisées, pas nécessairement celles documentés
    - Suivre les évolutions et devenir l’ami du PMO
    Une démarche SSI Agile
    - Utiliser le vocabulaire et les outils de la maison
    - Une PSSI dans JIRA et Confluence et non dans un document Word ? Oui, ça existe!
  • Advens - congrès du cesin 2015

    1. 1. LE PLAN D’AUDIT À L’ÉPREUVE DU SI ÉPARPILLÉ Congrès 2015 du CESIN, 9 Décembre 2015, Reims 1
    2. 2. LES SPEAKERS Document confidentiel - Advens® 2015 2 Benjamin Leroux Responsable des offres Audit et Conseil Advens RSSI
    3. 3. INTRODUCTION Document confidentiel - Advens® 2015 3 • Face au SI éparpillé, nos plans d’audit traditionnels affichent leurs limites. › Comment contrôler la sécurité d’infrastructures qui ne nous appartiennent pas… ou plus ? › Comment se satisfaire d’un plan d’audit annuel à l’heure où chaque semaine surgissent vulnérabilités nouvelles et « 0 days » ? › Comment repenser nos démarches d’audit et de contrôle ?
    4. 4. SOMMAIRE Document confidentiel - Advens® 2015 Comprendre les facteurs d’éparpillement1 Identifier les nouveaux enjeux de l’audit2 Réagir face aux idées reçues3 Pour conclure...4 4
    5. 5. UN SI DANS LES NUAGES Document confidentiel - Advens® 2015 Comprendre les facteurs d’éparpillement 5 • L’un des premiers facteurs d’éparpillement est le recours croissant aux services « Cloud » et aux différentes formesd’externalisation. › Les frontières du SI sont de plus en plus floues. › Les modalités d’accès à l’information sortent du strict cadre de l’entreprise. › Les responsabilités en matière de SSI sont diluées dans des contrats, tantôt trop complexe, tantôt trop superficiels.
    6. 6. UN SI À DEUX VITESSES Document confidentiel - Advens® 2015 Comprendre les facteurs d’éparpillement 6 • Le second facteur est la fameuse transformation numérique, que vivent de nombreuses organisations, consciemment ou non. › Le « Digital » bénéficie d’une attention particulière, avec des budgets conséquents et une vitesse parfois déroutante. › Le « Legacy » avancent à un autre rythme, pénalisant parfois la DSI et ses méthodes habituelles.
    7. 7. UN SI À L’IMAGE DE L’ORGANISATION Document confidentiel - Advens® 2015 Comprendre les facteurs d’éparpillement 7 • Et des facteurs plus traditionnels, propres à chaque organisation. › L’international, des cultures, des référentiels et réglementations variés et parfois incohérents › Le périmètre fonctionnel : des entités avec des DSI différents, à la maturité différentes, avec plus ou moins d’appétence pour le risque › Des budgets et une implication à géométrie très variables
    8. 8. SOMMAIRE Document confidentiel - Advens® 2015 Comprendre les facteurs d’éparpillement1 Identifier les nouveaux enjeux de l’audit2 Réagir face aux idées reçues3 Pour conclure...4 8
    9. 9. LE CONTRÔLE ET L’AUDIT DEMEURENT DES FONDAMENTAUXDE LA DÉMARCHE SÉCURITÉ. La mise en pratique est inégale… … selon le contexte sectoriel … selon le poids du cadre réglementaire … selon la culture de l’entreprise et de la DSI. Document confidentiel - Advens® 2015 9
    10. 10. CE QUI A CHANGÉ Document confidentiel - Advens® 2015 Identifier les nouveaux enjeux de l’audit et du contrôle 10 • « Cloud » ou non, « Digital » ou non… l’écosystème de la Sécurité a évolué et nécessite de revoir son approche en matière d’audit. › Les périmètres contrôlés ne sont plus internes ni périmétriques. › Le risque « Cyber » est de plus en plus identifié : la sécurité est exposée et peut être amené à rendre des comptes. › La prise de conscience des métiers, bien que trop lente, se traduit par leur implication croissante dans les conduites d’audit.
    11. 11. CE QUI DOIT CHANGER Document confidentiel - Advens® 2015 Identifier les nouveaux enjeux de l’audit et du contrôle 11 • Ces quelques évolutions n’apportent pas toutes les réponses. Il faut s’intéresser à quelquesenjeux forts. › Le plan d’audit doit s’appuyer sur un outillage complet : du bon vieux pentest jusqu’à l’audit du nouveau gadget connecté… › L’audit doit donner une vision sur ce qui importe vraiment : l’usage prime sur le contenant technique. › Le RSSI doit être le chef d’orchestre d’une démarche à laquelle chaque acteur de l’organisation va prendre part.
    12. 12. SOMMAIRE Document confidentiel - Advens® 2015 Comprendre les facteurs d’éparpillement1 Identifier les nouveaux enjeux de l’audit2 Réagir face aux idées reçues3 Pour conclure...4 12
    13. 13. IDÉE REÇUE #1 RÉAGIR FACE AUX IDÉES REÇUES Document confidentiel - Advens® 2015 « Ce que veut le digital, le digital l’aura… et le RSSI consentira ! » 13 IDÉE REÇUE #1 RÉAGIR FACE AUX IDÉES REÇUES
    14. 14. IDÉE REÇUE #1 Document confidentiel - Advens® 2015 Retours d’expérience 14 Auto-évaluation : « Ecrire c’est facile, mais contrôler, c’est plus difficile » Stratégie d’externalisation : « Et ça, on peut le mettre dans le cloud ? » Accompagner la transformation numérique Faciliter mais cadrer Stratégie Type d’offre R1 R2 R3 R4 R5 R6 R7 R8 R9 R10 Externalisation « externe » PaaS Public US 4 3 5 3 4** 2 5 0* SaaS Public US 5 4 5 4 4** 2 4 0* PaaS Public UE 3 2 5 3 4** 2 5 0 SaaS Public UE 4 3 5 4 4** 2 4 0 PaaS / SaaS étranger 5 4 5 4 4** 2 5 5*** Externalisation « interne » PaaS Privé partenaire 3 2 3 2 4** 2 3 0 SaaS Privé partenaire 3 2 3 2 4** 2 3 0 Internalisation IaaS Interne Oxylane 2 1 3 1 3 2 2 0
    15. 15. IDÉE REÇUE #1 : QUELLES BONNES PRATIQUES ? Document confidentiel - Advens® 2015 Réagir face aux idées reçues 15 Créer un véritable partenariat et une relation de confiance avec les équipes en charge du numérique et pas uniquement avec la DSI Proposer des critères simples pour valider le recours au cloud ou à un prestataire donné Construire une offre de services Sécurité à destination des projets et des métiers pour les accompagner dans l’aventure numérique
    16. 16. Document confidentiel - Advens® 2015 « On ne peut pas l’auditer, c’est dans le cloud… » 16 IDÉE REÇUE #2 RÉAGIR FACE AUX IDÉES REÇUES
    17. 17. IDÉE REÇUE #2 Document confidentiel - Advens® 2015 Retours d’expérience 17 Auditer les usages et non pas les infrastructures Savoir challenger petits et grands projets Auditer les services dans le cloud Choisir ses combats
    18. 18. IDÉE REÇUE #2 : QUELLES BONNES PRATIQUES ? Document confidentiel - Advens® 2015 Réagir face aux idées reçues 18 Définir un catalogue de services d’audit et de contrôle, exhaustif, flexible et au goût du jour Anticiper les non-conformités : définir les circuits de traitement des exceptions et contrôler les plans d’action proposés Saisir les opportunités suite à un audit
    19. 19. Document confidentiel - Advens® 2015 « Il y en a trop… autant ne rien faire pour l’instant. » 19 IDÉE REÇUE #3 RÉAGIR FACE AUX IDÉES REÇUES
    20. 20. IDÉE REÇUE #3 Document confidentiel - Advens® 2015 Retours d’expérience 20 Faire évaluer la sensibilité par le porteur du projet Décliner la bonne approche selon la sensibilité Auditer les services dans le Cloud Choisir ses combats
    21. 21. IDÉE REÇUE #3 : QUELLES BONNES PRATIQUES ? Document confidentiel - Advens® 2015 Réagir face aux idées reçues 21 Favoriser, toujours et encore, une approche par les risques Responsabiliser les métiers dans le plan d’audit et globalement dans les décisions en matière de sécurité Déployer un mécanisme simple et transverse d’évaluation de la sensibilité
    22. 22. Document confidentiel - Advens® 2015 « Ça, c’est bon, la DSI maîtrise… » 22 IDÉE REÇUE #4 RÉAGIR FACE AUX IDÉES REÇUES
    23. 23. IDÉE REÇUE #4 Document confidentiel - Advens® 2015 Retours d’expérience 23 Piloter la sécurité du SI sur le périmètre historique Renforcer la sécurité des applications Contrôler le SI « interne » Les bons partenaires aux bons endroits
    24. 24. IDÉE REÇUE #4 : QUELLES BONNES PRATIQUES ? Document confidentiel - Advens® 2015 Réagir face aux idées reçues 24 Conserver une bonne hygiène et ne pas oublier les basiques Impliquer la DSI dans la mise en place des solutions de sécurité
    25. 25. Document confidentiel - Advens® 2015 « La sécurité, ça retarde les projets » 25 IDÉE REÇUE #5 RÉAGIR FACE AUX IDÉES REÇUES IDÉE REÇUE #5 RÉAGIR FACE AUX IDÉES REÇUES
    26. 26. IDÉE REÇUE #5 Document confidentiel - Advens® 2015 Retours d’expérience 26 Intégrer la sécurité dans la méthode Projet Oser une démarche SSI Agile Eviter les mauvaises surprises S’intégrer avec agilité
    27. 27. IDÉE REÇUE #5 : QUELLES BONNES PRATIQUES ? Document confidentiel - Advens® 2015 Réagir face aux idées reçues 27 Communiquer, toujours plus, toujours mieux Comprendre les modes de fonctionnement réels et s’y intégrer Savoir innover pour se développer… ou pour survivre
    28. 28. SOMMAIRE Document confidentiel - Advens® 2015 Comprendre les facteurs d’éparpillement1 Identifier les nouveaux enjeux de l’audit2 Réagir face aux idées reçues3 Pour conclure...4 28
    29. 29. LES BONNES RECETTES Document confidentiel - Advens® 2015 Pour conclure 29 1 2 3 4 Intégrer la sécurité au cœur des nouvelles pratiques liés au numérique Créer une relation de confiance et développer des partenariats Parler les langages de nos interlocuteurs et s’adapter à leurs méthodes Savoir innover et se mettre en question sans perdre la face Construire une offre de services d’audit Contrôler pour développer la confiance
    30. 30. Q&A

    ×