2. 2
Sommaire
a. Contexte
b. Conformité
c. Gouvernance
d. Alignement stratégique
e. Maitrise des risques
f. Un nouveau paradigme
g. La notion de système
h. Un système de sécurité de l’information
i. Une méthodologie
j. Principes
k. Une pratique expérimentée
l. Les 3 étapes de la méthode
m. Le scénario de risque Métier
n. L’automatisation
o. L’outil
3. 3
Contexte
Transformation numérique et sécurité de l’information
La sécurité de l’information, des données et des procédés est au cœur de la
transformation numérique, imposée par les nouveaux usages
• nouvelles menaces
• cybercriminalité
pour générer la confiance numérique indispensable
• clients
• partenaires
4. 4
Conformité
La sécurité de l’information est le point focal de nombreuses lois,
réglementations, normes
Règlement Général sur la Protection des Données (RGPD)
Loi de Programmation Militaire (LPM)
Hébergement des Données de Santé (HDS)
Système de Management (ISO 27001)
…
5. 5
Gouvernance
La sécurité des données, de l’information, des procédés n’est pas l’affaire
des seuls spécialistes de la sécurité
La sécurité concerne toutes les fonctions de l’entreprise avec des
responsabilités spécifiques
Une gouvernance pour
un alignement stratégique du processus sécurité
une gestion de la sécurité par les risques Métier
une communication structurée
un pilotage articulant des objectifs métiers aux indicateurs opérationnels
sécurité
6. 6
Alignement stratégique
L’alignement stratégique visé passe par une gouvernance qui a pour finalité
de permettre aux « métiers » de développer leurs activités tout en ciblant la:
maitrise des risques
conformité aux lois et règlementations
performance et la création de valeur portées par des systèmes robustes et
pérennes
7. 7
Maitrise des risques
Les standards et méthodes traitent de la sécurité essentiellement sous
l’angle des vulnérabilités techniques, fonctionnelles et organisationnelles
Ils n’expliquent pas comment adresser le risque dit « stratégique », ni
comment articuler stratégie et risques « métiers »
Ce sont des méthodologies d’experts à destination de spécialistes
Leur positionnement (vision) est univoque, dirigée des systèmes
d’information vers les métiers
Leur approche est analytique et vise :
l’exhaustivité référentiel fermé
la mesure exacte complication
la précision détail
8. 8
Un nouveau paradigme
La problématique observée nécessite d’être observée avec une approche
transdisciplinaire qui fasse interagir toutes ses composantes
Concevoir un nouveau modèle avec une méthodologie systémique vs
analytique, pour résoudre une problématique complexe
Les objets et situations complexes ont en commun :
• le flou et l’imprécision
– difficulté à établir les dimensions et les frontières de l’objet étudié VS objet ou
situation compliqué
• l’aléa et l’instabilité
– le temps joue un rôle fondamental dans l’évolution de la complexité
• l’ambiguïté
– situation complexe de logique antagoniste
• l’incertitude et l’imprévisibilité
9. 9
La notion de système
Le système est un ensemble d’éléments en interaction dynamique,
organisés en fonction d’un but
10. 10
Un système de sécurité de l’information
Une approche orientée Métier (vision des métiers vers les actifs
informationnels) pour :
privilégier la protection spécifique des ressources essentielles tout en assurant
une sécurité standard (état de l’art) à l’ensemble des actifs informationnels
estimer la dangerosité et la réalité des menaces
produire un dispositif de sécurité agile et adaptable en fonction des menaces,
de l’évolution des architectures techniques, du contexte légal et concurrentiel
un pilotage proactif par l’articulation d’objectifs de sécurité Métier et
d’indicateurs sécurité opérationnels
11. 11
Une méthodologie
Une méthodologie de gestion de la sécurité de l’information, dont
l’application simple permet de :
modéliser un dispositif de sécurité parfaitement adapté à la spécificité et aux
besoins de l’entreprise
constituer un vecteur de communication entre les parties prenantes du système
de management
favoriser des transferts de savoir-faire pratiques d’experts vers des praticiens
non spécialistes
mobiliser l’ensemble des collaborateurs de l’organisation par des approches
pragmatique et faciles à mettre en œuvre
communiquer de façon « multidirectionnelle » (transverse et verticale) afin de
permettre les contrôles de conformité et de performance
optimiser les ressources et savoir-faire engagés, en structurant et outillant la
méthodologie appliquée (logiciel, IA)
minimiser l’effet dilution, déperdition des moyens engagés par la rapidité de
mise en œuvre
12. 12
Principes
Selon l’ENISA il convient de pratiquer des approches
Simples
Communicantes
Outillées
Selon le Gartner il convient de centrer les approches sur
Les services essentiels
La dangerosité des menaces
La réalité des risques
13. 13
Une pratique expérimentée
Une déclinaison en un processus d’amélioration continue
Une approche systémique pour articuler
Contrôle de performance
Contrôle de conformité
Communication, gouvernance
SARAPIS
14. 14
Les 3 étapes de la méthode
Analyse de risques
compréhension du contexte et définition du périmètre
recensement des processus stratégiques Métier
articulation des ressources spécifiques aux processus stratégiques
identification des menaces qui visent ces ressources
audit de vulnérabilité
construction de scénarios de risques Métier qui font interagir menaces et
vulnérabilités en regard des processus stratégiques
15. 15
Les 3 étapes de la méthode
Traitement des risques
définition de la stratégie de traitement des risques Métier
sélection de mesures de sécurité
plans de traitement
élaboration des procédures de sécurité
16. 16
Les 3 étapes de la méthode
Pilotage
définition d’indicateurs en regard des objectifs de sécurité Métier et
opérationnels
constitution de tableaux de bord par niveaux : stratégique, opérationnel et
technique
élaboration du processus de reporting
17. 17
Le scénario de risque Métier
Le scénario de risque, pierre angulaire de la démarche, doit être constitué
par métier avec la contribution du manager ou « fonctionnel » Métier
Cette approche a pour effet :
d’établir des objectifs et des indicateurs Métier pour un pilotage proactif de la
sécurité
de faire «parler» l’organisation avec un même «protocole» d’échange
d’impliquer et de mobiliser toutes les parties prenantes du système de
management de la sécurité de l’information
18. 18
L’automatisation
Un logiciel spécifique possède les avantages suivants :
il est spécifique à la méthode appliquée et permet son « industrialisation » pour
produire des résultats comparables et reproductibles
par son usage aisé et intuitif, il facilite son exploitation par des « non –
spécialistes » du domaine
il permet de diminuer les coûts de mise en œuvre par gain de temps et
limitation des ressources humaines à engager
il constitue un vecteur de communication entre toutes les parties prenantes du
système de management de la sécurité de l’information
19. 19
L’outil
Un logiciel spécifique pour constituer les scénarios de risque Métier,
chacun, pierre angulaire :
de l’analyse de risques
du dispositif de pilotage intégré qui associe objectifs métier et objectifs de sécurité
opérationnelle
Un logiciel pour mettre en œuvre un processus de gestion de la sécurité de
l’information, sur la base des scénarios :
Automatisation et industrialisation
• Rapports et historisation
• Plans d’actions
• Classification des actifs essentiels
Sa vocation
déléguer la gestion du risque aux managers Métier et les opérations sécurité aux
responsables fonctionnels et ingénieurs
constituer un vecteur de communication et de gouvernance sur la base de tableaux de bord
• stratégique pour la Direction et les managers Métier
• opérationnel pour le RSSI
• technique pour les équipes en charge de la gestion de la sécurité