L'évolution des bonnes pratiques de sécurité de l'information et de gestion des services TI selon ITIL®2011 - ISO/CEI 20000 - COBIT®5 (2013-02-06)
Martin Samson (Nurun)
Nouveau cadre de gouvernance de la sécurité de l'information
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
1. ÉVOLUTION DES BONNES
Q
PRATIQUES EN SÉCURITÉ DE
L’INFORMATION AVEC COBIT 5
CONFÉRENCIER: MARTIN M. SAMSON, CGEIT, CISM, CRISC…
6 FÉVRIER 2013
http://www.isaca‐quebec.ca
2. VOLET GOUVERNANCE
Ordre du jour
Introduction/Objectifs;
Survol de Cobit 5;
Avancées majeures de
Cobit 5 en sécurité de
l’information:
Gouvernance selon Cobit 5
p
pour la sécurité de
l’information;
Gouvernance de la sécurité
des équipements mobiles;
des équipements mobiles;
Gouvernance reliée au
Cloud
2
3. INTRODUCTION
COBIT 5 peut être utilisé
•Intégralement
•Partiellement
•En complément
3
4. OBJECTIFS – VOLET GOUVERNANCE
Objectifs
Préciser sous le volet de la gouvernance et des aspects
de gestion, les avancées de COBIT 5 en terme de
sécurité de l’information.
Note : Concernant le vocabulaire utilisé…
ex : Catalyseur/enabler
ex : Catalyseur/enabler
4
5. COBIT 5 VERSUS 4.1
•COBIT 5 s'appuie et intègre les éléments de la
précédente version de COBIT
• COBIT 4.1
• Val IT
• Risk IT
• Bussiness Model for Infornation Security (BMIS)
•Les entreprises peuvent s'appuyer sur les outils
q
qu’ils ont développés à l'aide des versions
pp
antérieures…
5
7. PRINCIPAUX ENJEUX DE LA GOUVERNANCE
DES TI
La gouvernance des TI vise à répondre à 5 objectifs de
contrôle:
Aligner les investissements TI
1 sur les besoins d’affaires.
Évaluer et gérer les risques
2 technologiques et d’affaires S’assurer que les
5 investissements TI sont Création de
sources de plus value
Gérer les ressources humaines la valeur
3 et matérielles
4 Mesurer la performance des TI
7
10. COBIT 5: UN RÉFÉRENTIEL AXÉ SUR LA
CRÉATION DE LA VALEUR
Analyse
risques Traitement
risques
i
Suivi et
contrôle
Réduire risques à
Gérer ressources TI Créer de la valeur
un niveau
de l’organisation
acceptable
COBIT 5 aide les organisation à créer de la valeur
par la gestion équilibrée des ressources TI et la
réduction des risques à un niveau acceptable.
10
11. LA DISTINCTION GOUVERNANCE ET
MANAGEMENT/GESTION
Gouvernance Management/Gestion
Planifier
Évaluer .
Surveiller Concevoir
Diriger . Processus
Mesurer
M
Réaliser
Gouvernance: évaluer diriger mesurer la réalisation des objectifs d affaires,
évaluer, diriger, d’affaires
ainsi que la conformité aux lois et règlements.
La gouvernance relève du conseil d’administration sous la direction du Président
Management/Gestion: planifier, concevoir, réaliser et surveiller la mise en
œuvre des orientations d’affaires définies par la gouvernance.
Le management est sous la responsabilité de la Direction générale qui relève du
CEO (chief executive officer)
11
12. COBIT 5: UN RÉFÉRENTIEL APPLICABLE À
TOUT TYPE D’ORGANISATION
Les principes et les catalyseurs développés par COBIT 5
sont applicables aux organisations de toute sorte et de
toute taille:
ill
Organisations gouvernementales et
municipales;
Firmes de services-conseils;
Organisations industrielles et
commerciales;
i l
Établissements bancaires,
d’assurances;
Organisations sans but lucratif
(OSBL)...
12
13. COBIT 5 ET LA SÉCURITÉ DE L’INFORMATION
COBIT 5 traite spécifiquement de la sécurité de
l’information:
En mettant l’accent sur la nécessité d’un système de gestion
de la sécurité de l’information aligné sur le domaine
g
“Align, Plan and Organise” notamment le processus
APO13 Gestion de la sécurité de l’information;
Le processus APO13 met l’emphase sur la nécessité d un
l emphase d’un
système de gestion de la sécurité de l’information (SGSI)
pour soutenir les principes de gouvernance et les objectifs
d affaires
d’affaires impactés par la sécurité, en liaison avec le
domaine « Evaluate, direct and monitor »
13
14. TROIS AVANCÉES MAJEURES EN SÉCURITÉ DE
L’INFORMATION !
COBIT 5 pour la sécurité de l’information;
La sécurité des équipements mobiles avec
La sécurité des équipements mobiles avec
COBIT 5
Objectifs de contrôle TI pour le Cloud
j p
14
17. CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5
POUR LA SI
4. Éthique,
2. Processus 3. Structure organisationnelle
culture organisationnelle
1. Principes, Politiques, Cadre de référence
5 Information
5. 6 Services applications
6. Services, 7 Profils de personnes
7.
et infrastructure et compétences
Ressources de l’Organisation
17
18. MODÈLE GÉNÉRIQUE POUR LA MISE EN ŒUVRE
DES CATALYSEURS
Approche selon Cobit 5 pour la SI
Parties prenantes Objectifs Cycle de vie Bonnes pratiques
Dimensions s
catalyseur
• Qualité intrinsèque; Planifier, Modéliser,
•Internes; concevoir, acquérir,
•Qualité contextuelle; Adapter selon le
opérer, évaluer,
•Externes. •Accessibilité et catalyseur
mettre à jour,
sécurité disposer
Les besoins des parties
A ‐ t‐on défini les Le cycle de vie Applique t‐on les
prenantes sont ils
prenantes sont ils
performance e
objectifs ? est‐il géré ? bonnes pratiques ?
catalyseur
adressés ?
Gestion
Métriques pour mesurer l’atteinte des objectifs Métriques pour l’application des catalyseurs
é
(Lag indicators) (Lead indicators)
18
19. CATALYSEUR 1: PRINCIPES, POLITIQUES ET
CADRE DE RÉFÉRENCE EN SI
Véhicules utilisés pour communiquer
les orientations de l’entreprise en
relation avec l objectifs d
l ti les bj tif de
gouvernance définis par le conseil
d’administration et la Direction
exécutive.
19
20. CATALYSEUR 1: PRINCIPES, POLITIQUES ET
CADRE DE RÉFÉRENCE EN SI
CADRE DE RÉFÉRENCE EN SI
Approche selon Cobit 5 pour la SI
Politiques
Intrants
Principes en sécurité • Informations obligatoires;
• Standards, normes de
Politique de sécurité sécurité;
• Modèles et référentiels
Politiques spécifiques de sécurité
•Informations génériques;
Procédures de sécurité • Standards, normes de
sécurité;
Exigences de sécurité et documentation • Modèles et référentiels
20
21. PRINCIPES EN SÉCURITÉ DE L’INFORMATION
•Véhicules utilisés pour vulgariser les
•Véhicules utilisés pour vulgariser les
orientations de sécurité en relation
avec les objectifs de gouvernance.
•ISACA ISF et ISC ont développé des
•ISACA, ISF et ISC ont développé des
principes en SI orientés sur 3 axes:
21
22. PRINCIPES EN SÉCURITÉ DE L’INFORMATION
1. Soutenir les affaires 2. Sécuriser l actifs
2 Sé i les tif 3. Sensibiliser les
• Intégrer la SI dans les • Définir une approche ressources
activités d’affaires formelle pour gérer les •Sensibilisation afin
essentielles; risques; d obtenir
d’obtenir des réflexes
•Évaluer et traiter les •Catégoriser/classifier de sécurité;
risques de sécurité; les actifs;
•Promouvoir une culture •Adopter des méthodes •Implication de la
d amélioration
d’amélioration continue en de développement haute direction
SI sécuritaire
22
24. POLITIQUES EN SÉCURITÉ DE L’INFORMATION
Types de politique Portée dans la fonction SI
Classification des données;
Propriété des données;
•Politique de gestion des actifs Gestion du cycle de vie des actifs;
Gestion du cycle de vie des actifs;
Mesures de protection des actifs…
24
25. POLITIQUES EN SÉCURITÉ DE L’INFORMATION
Types de politique Portée dans la fonction SI
Définir les exigences de sécurité dans les
Définir les exigences de sécurité dans les
processus d’acquisition ou de
• Politique d’acquisition, de développement;
développement et maintenance Pratiques de codage sécuritaire;
pp q g ;
des systèmes et solutions Tester tester tester…
logicielles Intégrer la sécurité de l'information
dans la gestion des changements et des
configurations.
25
26. CATALYSEUR 2: PROCESSUS EN SÉCURITÉ DE L’INFORMATION
Les processus décrivent, suivant un ordre séquentiel, les
intrants et extrants nécessaires pour l’atteinte des
objectifs de contrôle en sécurité de l’information.
bj tif d t ôl é ité d l’i f ti
Composants des processus selon Cobit 5 pour la SI
Identifier le processus
Identifier le processus
Décrire le processus
Définir le processus
Définir les buts et métriques du processus
Activités du processus (Description détaillée )
26
27. ARCHITECTURE DE PROCESSUS EN SÉCURITÉ
DE L’INFORMATION
Area: Management
APO001 Manage the IT Management Framework Domain: APO
Description du processus:
Clarifier et maintenir la gouvernance TI au sein de l'entreprise. Mettre en œuvre et promouvoir les mécanismes et l’autorité nécessaire
pour gérer l'information et l'utilisation des TI à l'appui des objectifs de gouvernance.
Déclaration d’intention
Fournir une approche de gestion cohérente afin de réaliser les exigences de gouvernance d'entreprise incluant les processus de
gestion, et les structures organisationnelles (rôles et responsabilités) ...
Objectifs spécifiques à la sécurité Métriques spécifiques à la sécurité
1. S’assurer de l’alignement de la sécurité avec les TI, cadres • % des activités de sécurité à l’intérieur du portefeuille de projets qui sont
méthodologiques et référentiels d’entreprise. alignés sur la stratégie d'entreprise.
Description détaillée des activités (exemple)
Description détaillée des activités (exemple)
Intrants Extrants
APO01.06: APO01.05 : Définition et APO11.01: Rôles et responsabilités en SI
Définir la propriété des données et des systèmes. positionnement de la fonction SI
à l’intérieur de l’organisation.
g DSS05.02 : Lignes directrices pour la classification des
données.
Activités spécifiques à la sécurité:
1.Définir la propriété des systèmes et des données à l’intérieur des processus de gestion de la sécurité;
2.Assigner un responsable de la sécurité des systèmes et des données à l’intérieur des processus de gestion de la sécurité
27
28. CATALYSEUR 3
STRUCTURES ORGANISATIONNELLES EN SI
Modèle générique de structure organisationnelle basé sur COBIT 5 pour la SI.
CISO
Responsabilités du CISO :
p
• Établir et maintenir le SMSI
• Définir et gérer le plan de gestion/traitement des risques et le
plan de reprise
• Contrôle et audit du SMSI
Niveau d'autorité : Responsable/imputable de la mise en œuvre
et du maintien de la stratégie de sécurité de l'information.
La dditi d
L reddition de comptes (imputabilité) et l'approbation des
t (i t bilité) t l' b ti d
décisions importantes reliées à la sécurité de l’information.
28
29. CATALYSEUR 3
STRUCTURES ORGANISATIONNELLES EN SI
Comité directeur/sécurité
•Regrouper les spécialistes qui permettront de
bien gérer la sécurité de l’information en
g
entreprise.
Exemples : RH-Auditeurs internes-Légal etc.
•Communication des bonnes pratiques de
sécurité de l’information de même que leur
implantation t i i
i l t ti et suivi.
29
30. CATALYSEUR 3
STRUCTURES ORGANISATIONNELLES EN SI
Comités de gestion des risques d’entreprises
• Responsable de certains processus ou
applications d’affaires
d affaires
•Responsable de communiquer les liens entre les
affaires et la sécurité (impacts sur les usagers)
•Connaissance des risq es reliés à l’opération de
Connaissance risques
même que les coûts/bénéfices des besoins de
sécurité pour les directions
30
31. CATALYSEUR 3
STRUCTURES ORGANISATIONNELLES EN SI
Responsable de la sécurité de l’information
•Développe une vision commune pour l’équipe de
sécurité et le reste de l’entreprise
•Gère le personnel relié à l sécurité d l’i f
Gè l l lié la é ité de l’information ti
en fonction des besoins d’affaires
•Effectue les évaluations de risque et définit les profils
de risque
•Développe le plan de sécurité de l’information
•Surveille les indicateurs de gestions reliés à la SI
•Identifie/communique les besoins en sensibilisation
Identifie/communique
•Responsable de l’adhésion des ressources et de la
haute direction aux bonnes pratiques de sécurité
31
32. CATALYSEUR 3
STRUCTURES ORGANISATIONNELLES EN SI
Propriétaires de processus / responsables de la sécurité des données et des systèmes
•Communiquer, coordonner et conseiller
l’entreprise sur les efforts requis pour gérer les
risques avec les gestionnaires hiérarchiques
•Rapporte les changement dans les besoins
d’affaires et les stratégies liés aux nouveaux
produits ou aux changements des produits
existants
•Responsable de rendre plus visible les aspects
de sécurité de l’information au travers de toute
l information
l’entreprise.
32
33. CATALYSEUR 3
STRUCTURES ORGANISATIONNELLES EN SI
Modèle générique de structure organisationnelle basé sur COBIT 5 pour la SI.
CISO
Collabore avec
C ll b
Comité directeur en sécurité Comités de gestion des risques
d’entreprises
Soutenus par:
Propriétaires de processus /
P iét i d /
Responsable de la sécurité de responsables de la sécurité des
l’information données et des systèmes
33
34. EXEMPLE DE STRUCTURE ORGANISATIONNELLE
LE COMITÉ DIRECTEUR EN SI (EXEMPLE))
(
Comité directeur en SI
Composition Responsabilités
• Préside le comité directeur en SI;
Chief Information security officer
• S’assure de la collaboration entre le comité directeur et le comité de gestion des risques d’entreprise
(CISO)
• Responsable de la sécurité de l’information à la grandeur de l’entreprise.
Conception des communications, mise en œuvre et suivi des pratiques
Responsable de la sécurité de
l’information Lorsque requis, traite de la conception des solutions avec les architectes en sécurité de l’information
afin de mitiger les risques identifiés.
• Responsable de certains processus ou applications d’affaires;
Propriétaires de processus /
• Responsable de la communication de certaines initiatives d’affaires qui peuvent avoir des incidences
responsables de la sécurité des
sur la sécurité de l’information, ou de pratiques qui peuvent impacter les utilisateurs finaux;
données et des systèmes
données et des systèmes
b éh d é l l û bé éf d l é éd
• Avoir une bonne compréhension des risques opérationnels, les coûts et bénéfices de la sécurité de
l’information ainsi que les exigences de sécurité de leurs domaines d’affaires.
Gestionnaires TI Formalise des rapports sur l'état des TI ainsi que les initiatives liées à la sécurité de l'information
Présence de certaines fonctions spécialisées lorsque requis (représentants de l'audit interne, ressources
humaines, juridiques, la gestion du projet);
h i j idi l ti d j t)
Représentants de fonctions
Ces fonctions peuvent être invitées à l'occasion ou en tant que membres permanents.
spécialisées
Possibilité d'avoir des représentants de l'audit interne afin de conseiller le comité sur les risques de
conformité.
34
35. CATALYSEUR 4: ÉTHIQUE, CULTURE ET
COMPORTEMENTS EN SI
Éthique organisationnelle:
« Valeurs sur lesquelles l’organisation veut évoluer »
Éthique individuelle
« Valeurs intrinsèques à chaque individu au sein de
l’organisation »
Leadership
« Moyens pouvant influencer le comportement désiré »
Comportement 1 Comportement 2 Comportement 3 Comportement n …8
Prise en compte Respect de Chacun est Les parties
de la sécurité de l'importance des responsable de la prenantes sont
l’information
l information dans principes et politiques
principes et politiques protection de
protection de sensibles aux
sensibles aux
les opérations en sécurité de l’information au sein risques en sécurité
quotidiennes. l’information de l'entreprise de l’information
35
36. CATALYSEUR 5: INFORMATION
Gérer le cycle de vie de l’information
Identifier, collecter
Identifier collecter
S’assurer de la destruction et classifier
sécurisée de l’information l’information.
Stockage de l'information
(fichiers électroniques,
S’assurer de la disponibilité bases de données,
de l’intégrité et de la entrepôts de données….)
confidentialité de
l’information
Utilisation de l’information (décisions
de gestion, exécution des processus
automatisés…..)
36
37. CATALYSEUR 7: PROFILS ET COMPÉTENCES
DES PERSONNES EN SI
COBIT 5 pour la sécurité de l’information fournit des exemples d’aptitudes
et de compétences liés à la fonction SI (un exemple).
Spécialiste en gouvernance de la sécurité
Exigences Description
Plusieurs années d'expérience en SI:
• Concevoir et mettre en œuvre des politiques de sécurité informatique;
Expériences • S’assurer de la conformité avec la réglementation externe;
• Aligner la stratégie de sécurité de l'information avec la gouvernance d’entreprise;
• Communiquer avec la direction exécutive
Certifications pertinentes CISM
Aptitudes :
• Définir les mesures de sécurité spécifiques à la gouvernance de la SI
• Créer un modèle de mesure de la performance
• Élaborer une analyse de rentabilité des investissements en sécurité de l’information
Connaissances Connaissances:
• Exigences légales et réglementaires concernant la sécurité des informations
• Rôles et responsabilités nécessaires à la sécurité de l'information dans toute l'entreprise
• Concepts fondamentaux en gouvernance de la SI
• Normes internationales, cadres référentiels et bonnes pratiques…
37
40. LA MOBILITÉ AU SEIN DE L’ENTREPRISE, UNE
RÉALITÉ !
Accès aux ressources TI de l’entreprise via différentes plateformes et
connexions réseau.
Serveur
d’annuaires
Serveur
web
Internet Stockage
Serveur fichiers
Pare-feu
Serveur
Serveur BD
messagerie
Accès depuis des réseaux publics
(aérogares, hôtels, restaurants….)
Accès utilisateurs, réseau interne
40
41. PRINCIPAUX RISQUES DE SÉCURITÉ ASSOCIÉS
À LA MOBILITÉ
Risques physiques: vol,
divulgation d’informations confidentielles
L’avènement de la mobilité comporte comme corollaire un accroissement
exponentiel des risques de sécurité.
41
43. PRINCIPAUX RISQUES DE SÉCURITÉ ASSOCIÉS
À LA MOBILITÉ
RISQUES ORGANISATIONNELS ET OPÉRATIONNELS:
GESTION DES ÉQUIPEMENTS MOBILES, ESPIONNAGE INDUSTRIEL….
43
44. RÉALISER UN DOSSIER D’AFFAIRES SUR LA
MOBILITÉ AU SEIN DE L’ENTREPRISE
Réaliser des études d’opportunités: Dossier
d’affaires
L utilisation d équipements mobiles doit être liée à une
L'utilisation d’équipements mobiles doit être liée à une
recherche d’efficacité et d’efficience dans la réalisation des
objectifs d’affaires;
Plus value et bénéfices:
Plus‐value et bénéfices:
S’assurer que l’utilisation d’équipements mobiles est source
de valeur ajoutée au sein de l’organisation;
Risques:
Identifier et évaluer les risques technologiques
Identifier et évaluer les risques technologiques
(interopérabilité), d’affaires et de sécurité liés à la mobilité
44
45. NORMALISER L’UTILISATION DES SOLUTIONS
MOBILES AU SEIN DE L’ENTREPRISE
Normaliser l’utilisation des équipements mobiles
Politique de sécurité
Politique d’utilisation des équipements
Politiques et normes
mobiles
Gestion des équipements mobiles (MDM)
Règles de sécurité Gestion de la configuration
Équipements Mobiles
Gestion à distance Définir noyau des applicatifs
45
46. NORMALISER L’UTILISATION DES SOLUTIONS
MOBILES AU SEIN DE L’ENTREPRISE
Centrer les efforts de gouvernance sur l’utilisateur
Politique de sécurité
Politique d’utilisation des équipements
Politiques et normes
mobiles
Utilisateur
Exigences minimales Acceptation des règles
Équipements Mobiles
Gestion par l’utilisateur Applications à risque
46
47. GÉRER LE CYCLE DE VIE DES ÉQUIPEMENTS
O S( O )
MOBILES (BYOD)
Acquisition Gestion des Mise à dispositions des
d’équipements mobiles
q p équipements mobiles équipements mobiles
• Contrat d’achat • Configuration (profil • Formatage /
(clause de sécurité, de
sécurité utilisateur),
utilisateur) gestion de destruction physique;
responsabilité…) la sécurité;
• Gestion des
• Cycle de test des • Services et utilisateurs;
équipements; maintenance;
• Opérations parallèles
• Personnalisation • Gestion des risques /
(privilèges utilisateurs) incidents de sécurité
47
49. GOUVERNANCE DANS LE CLOUD
Réaliser un
dossier
d’affaires
Assurer la
Conformité continuité
légale des affaires
Gérer les
risques du
risques du
Intégrité Cloud
Gestion de la
Confidentialité performance
49
51. CONCLUSION
(VOLET GOUVERNANCE)
( )
•Réduire la complexité
•Accroire la rentabilité et la satisfaction des clientèles
•Améliorer l’intégration de la sécurité des TI dans l’entreprise
•Prise de décision éclairées avec une meilleure connaissance
des risques
• Amélioration de la prévention, détection et reprise des
opération
• Réd ti d i
Réduction des impacts d i id t d sécurité
t des incidents de é ité
• Meilleure gestion budgétaire des coûts liés à la sécurité de
l’information
•Distinction entre la gouvernance et la gestion
• Meilleure compréhension de la sécurité des TI
51
52. CONCLUSION
(VOLET GOUVERNANCE)
( )
Les avancées de COBIT 5
Les avancées de COBIT 5
p
permettent une prise en
p
compte de bout en bout des
préoccupations de sécurité
pour l’entreprise
52
53. MERCI
Contact : Martin M Samson
Directeur Exécutif Associé, Sécurité de l’information
martin.samson‐À‐nurun.com
418‐627‐0999 poste 55395
53