Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Sécurité du Si et création de valeur Vb
1. Vers une nouvelle
approche
de la sécurité du
système d’information
Eric Buret - Expert en management de la sécurité du SI
2. Classiquement, la sécurité est vue comme
une réponse à de multiples contraintes
Lois et
Malveillances
règlements
Sécurité du
système
d’information
Désorganisation Incidents et
interne sinistres
3. Pour répondre à ces contraintes,
on peut s’appuyer sur les normes actuelles ...
Politique d‘entreprise
Organisation de la sécurité
Niveau adéquat
de sécurité
Gestion des biens informationnels
Sécurité liée aux ressources humaines
Gestion de la sécurité physique
Gestion des opérations
Contrôle des accès logiques
Sécurité liée au cycle de vie du S.I.
Gestion des incidents
Gestion de la continuité
Gestion de la conformité
ISO 27000
0 1 2 3 4 5
... et rechercher l’équilibre entre les
mesures existantes et le niveau adéquat
4. On peut aussi rechercher le meilleur
rapport coût-bénéfice ...
Coût
Coûts
cumulés
Zone
d’efficience
maximale
Coût des Coût du
mesures de risque
sécurité résiduel
Efficacité des
mesures de sécurité
... et l’utilisation optimale des ressources
5. Le nec plus ultra c’est l’intégration de la sécurité
au plus tôt dans le cycle de vie des projets
ROSI
Design
100 Développement
Test
10 Déploiement
Recette
1
Début du projet Fin du projet
ROSI = Retour sur investissements des mesures de sécurité
en fonction du stade d’intégration de la sécurité dans le projet
6. Le risque majeur ...
... est de se concentrer sur la protection des biens
7. Bilan des approches traditionnelles
Dans le meilleur des cas :
✴Le SMSI est bien dans un cycle PDCA
✴Le système d’information est conforme
✴Les tableaux de bords sont exploités
✴Les dépenses sont contrôlées
✴Les incidents sont maîtrisés
✴La sécurité est gouvernée
Mais aucune valeur n’est réellement créée
10. Opter pour un nouveau paradigme
Renforcer
la confiance
Sécurité du
Servir la Accompagner
système
stratégie l’innovation
d’information
Accroître le
patrimoine
Aligner la sécurité sur la stratégie d’entreprise
11. Bâtir une nouvelle entreprise communicante
basée sur la confiance des échanges
12. Faciliter les échanges dans la chaîne de valeur
Enseignes
750 magasins
dans 18 pays
Flux matériels
Gestion des flux
de distribution
Flux informationnels
STE 2 FAB
8 usines - 9 500 personnes
Design Fabrication Contrôle
Conception Assemblage Qualité
Gestion des flux
de fabrication
Sous-traitants
30 Sociétés - 980 personnes - 5 pays
Equipements Produits
Matériaux
électroménagers semi-finis
Une nécessité stratégique basée
sur la sécurité des flux informationnels
13. Choix de sécurité = acte stratégique
Stratégie
de licences visant Stratégie d’échange
à augmenter Coopération de technologie
les ventes
Guerre de Guerre de
position mouvement
Stratégie
défensive visant Stratégie
à conserver le «course de vitesse»
Exclusion
monopole
... pour développer son avantage concurrentiel
14. L’augmentation de la valeur perçue par le Client
Valeur Valeur crée
d’utilité par
perçue par l’entreprise
le client
VUPC Coût de
revient
En exploitant la valeur d’utilité créée par la sécurité
15. La sécurité = arme de planification stratégique
Modification
de la valeur
pour le client
Stratégie Stratégie de
perturbatrice rupture
Radicale = =
Augmentation de Conjugaison
la VUPC des tactiques
Stratégie
perturbatrice
Modérée Amélioration =
incrémentale Optimisation de la
chaîne de valeur Modification
de la chaîne
Modérée Radicale de valeur
Un réel atout au service de la stratégie
16. La démarche sécuritaire vers la création de valeur
Création
de valeur
Maîtrise des contrôles
Maîtrise des méthodes
Maîtrise de la technologie
Maîtrise des produits et des techniques
La nouvelle cible à atteindre