Gestion de Crise Sociale - Par Emmanuelle Herve - iCompetences HCM2013
Comment définir une stratégie de sécurité en adéquation avec enjeux métiers - Philippe Le...
-
Upload
farid-yandouz -
Category
Documents
-
view
584 -
download
0
description
Transcript of Comment définir une stratégie de sécurité en adéquation avec enjeux métiers - Philippe Le...
© 2012 Consulare sàrl, tous droits réservés.
‘ Savoir, prévoir et décider ‘
Sécurité des Systèmes d’Informa?on : Piloter la Sécurité du SI pour créer la confiance
Comment définir une Stratégie de Sécurité des Systèmes d’Informa?on ?
© 2012 Consulare sàrl, tous droits réservés.
Les Hommes, l’Organisa;on et la Stratégie
Première par;e Quel RSSI pour quelle organisa;on ?
Deuxième par?e
Comprendre comment l’organisa?on et ses dirigeants pensent (le risque et la sécurité)
Troisième par?e
Etablir, présenter et suivre un Stratégie
2
© 2012 Consulare sàrl, tous droits réservés.
« La performance d’un manager ne dépend
pas directement de lui même mais de la
performance des autres. »
3
Le RSSI et les Autres …
© 2012 Consulare sàrl, tous droits réservés.
Le RSSI est-‐il un Manager ou un Contributeur Individuel?
4
Manager
• Équipe • Processus • Infrastructure • Autorité • Budget
Contributeur Individuel
• Liberté • Transversalité • Coaching • Anima?on • Conseil
© 2012 Consulare sàrl, tous droits réservés. 5
Ou se posi;onne le RSSI dans l’organisa;on et ou lui voudrait-‐il être ?
© 2012 Consulare sàrl, tous droits réservés.
Dans une organisa;on à forte composante ‘Risques Opéra;onnels’, le RSSI ira « naturellement » vers la Direc;on des Risques
6
© 2012 Consulare sàrl, tous droits réservés.
Dans une organisa;on à très forte pression réglementaire
7
© 2012 Consulare sàrl, tous droits réservés.
Dans une organisa;on ou la traduc;on de tout risque est principalement légal (juridique)
8
© 2012 Consulare sàrl, tous droits réservés.
Une phase de transi;on, et de recherche, une posture transversale entre les acteurs de la conformité et de la gouvernance
9
© 2012 Consulare sàrl, tous droits réservés.
Dans une organisa;on avec une vision transversale purement technologique
10
© 2012 Consulare sàrl, tous droits réservés.
Exemple de matrice RACI d’ac;vités de la sécurité
Ac;vités RSSI DSI Contrôle Interne
Mé;ers Direc;on Général
Ges?on de projets RA C I I
Contrôles et inves?ga?ons de la sécurité de l’informa?on
R C A C
Ges?on et anima?on de la sensibilisa?on du personnel RA I C
Conseil et assistance aux u?lisateurs RA C
Conseil et assistance aux en?tés liées à Lorem Ipsum R I C A
Hypervision et contrôle de la sécurité opéra?onnelle de l’informa?on
RA C I I
Résolu?on et suivi des incidents liés à la sécurité de l’informa?on
RA C C I
Gouvernance des standards de la sécurité de l’informa?on
RA C C C
Ges?on des « sauf-‐conduit » pour la sécurité de l’informa?on
R A C I
© 2012 Consulare sàrl, tous droits réservés.
Autre exemple de matrice RACI dans une PSSI
© 2012 Consulare sàrl, tous droits réservés.
Les Hommes, l’Organisa;on et la Stratégie
13
Première par?e Quel RSSI pour quelle organisa?on ?
Deuxième par;e
Comprendre comment l’organisa;on et ses dirigeants pensent (le risque et la sécurité)
Troisième par?e
Etablir, présenter et suivre un Stratégie
© 2012 Consulare sàrl, tous droits réservés.
Exper;se Techniques
Respon
sabilité • PDG
• DSI • RSSI
• Incident escala?on manager • Security management
staff • Security expert
• Security opera?on team
• Administrateur Système
• Employés
• management
Dans l’écosystème IT, le niveau de responsabilité ne va pas de paire avec l’exper;se technique
14
© 2012 Consulare sàrl, tous droits réservés.
Peut-‐on assumer que toutes les décisions sur les risques et la sécurité s(er)ont prises de façon ra;onnelle ?
� La faillite du système ra?onnel n’est pas du à la logique mais aux capacités de l’homme. ◦ Qui peut être capable de savoir et comprendre tout complètement et
immédiatement ? ◦ Qui peut l’être en n’ayant de surcroît aucun ego, passé, présent et futur ?
� Nous avons tous recours à des “subterfuges” qui nous font passer outre la ra?onalité.
� Nous oscillons sur notre performance moyenne à prendre les bonnes décisions.
� La dualité ◦ Une moi?é est un planificateur avec une perspec?ve à long terme ◦ L’autre moi?é cherche les résultats à court terme. ◦ Ces deux par?es sont en lule permanente.
15
© 2012 Consulare sàrl, tous droits réservés.
� La pandémie éclate et pourrait tuer 600 personnes, l’on vous demande de décider entre deux approches pour gérer la situa?on :
◦ L’approche A permet de sauver 200 personnes.
◦ L’approche B, il y a une probabilité de 33% de tous les sauver et 67% de ne sauver aucun.
� Votre choix ? 16
U;lisez des simula;ons de situa;on pour comprendre les dirigeants, vos interlocuteurs (1/2)
� La pandémie éclate et pourrait tuer 600 personnes, l’on vous demande de décider entre deux approches pour gérer la situa?on :
◦ L’approche A entraine la mort de 400 personnes.
◦ L’approche B, il y a une probabilité de 33% que personne ne meurt et 67% que les 600 meurent.
� Votre choix ?
© 2012 Consulare sàrl, tous droits réservés.
• Vous vous rendez à un spectacle pour lequel vous avez acheté un ?cket à 50 €. En arrivant vous vous apercevez que vous avez perdu le ?cket. Que faites-‐vous ?
q Vous rachetez un ?cket à 50 € ? q Vous rentrez chez vous ?
17
U;lisez des simula;ons de situa;on pour comprendre les dirigeants, vos interlocuteurs (2/2)
• Vous vous rendez à un spectacle avec un billet de 50 € dans votre portefeuille. En arrivant vous vous apercevez que vous avez perdu le billet. Que faites-‐vous ? q Vous achetez quand même un
?cket à 50 € ? q Vous rentrez chez vous ?
© 2012 Consulare sàrl, tous droits réservés.
Le Regret de la Décision
� Le psychologue David Bell définit le Regret de la Décision comme la focalisa?on sur ce que l’on aurait pu avoir ou aleindre si on avait pris la bonne décision.
� Nous sommes tous les vic?mes de notre dernier maux.
� Combien seriez-‐vous prêt à payer pour ne pas avoir à savoir ? (que vous avez pris la mauvaise décision)
18
© 2012 Consulare sàrl, tous droits réservés.
Et maintenant nous pouvons travailler !
• Nous voilà armer pour travailler sur une stratégie car : – Nous savons ou se situe le RSSI et pourquoi.
– Nous savons comment les par?es prenantes à la Sécurité & Ges?on des Risques du SI fonc?onnent intellectuellement.
19
© 2012 Consulare sàrl, tous droits réservés.
Première par?e Quel RSSI pour quelle organisa?on ?
Deuxième par?e
Comprendre comment l’organisa?on et ses dirigeants pensent (le risque et la sécurité)
Troisième par;e
Etablir, présenter et suivre un Stratégie
Les Hommes, l’Organisa;on et la Stratégie
20
© 2012 Consulare sàrl, tous droits réservés.
Une stratégie pour …
21
« Gouverner selon un cours op.mum à
travers des condi.ons changeantes vers un
objec.f prédéterminé. »
© 2012 Consulare sàrl, tous droits réservés.
L’Objec;f est toujours, d’une façon ou d’une autre, le main;en ou l’améliora;on du niveau de maturité
22
NIST PRISMA -‐ IT Security Maturity
Level 1 Policies A-‐
Level 2 Procedures B+
Level 3 Implementa?on B-‐
Level 4 Test B+
Level 5 Integra?on C+
Choisissez-‐en un et restez lui fidèle !
© 2012 Consulare sàrl, tous droits réservés.
Faites ce que vous savez faire !
• Iden?fiez le niveau de maturité.
• Définissez un niveau de maturité à aleindre qui vous semble possible pour l’organisa?on (il vaut mieux sur-‐performer que rater !)
• Assurez-‐vous en amont que l’aleinte du niveau de maturité peut être validé par un audit (interne ou externe) ou benchmark.
• U?lisez l’échelle de temps pour fixer l’objec?f, et notamment en donnant une existence avec un nom à cele stratégie, ie. Cap 2016 ou Safe 2015 etc.
23
© 2012 Consulare sàrl, tous droits réservés.
Avant le plan d’ac;ons et d’ini;a;ves commencez par mebre en place les boucles de gouvernance !
• Les boucles de gouvernances sont essen?elles sans elle vous ne pourrez gouverner ! – Journal des décisions et arbitrages (très important). – Processus de prises des décisions et rendus des arbitrages. – Suivi des budgets et inves?ssements (cash rule). – Séances, steering commilee, review board, etc. – Métriques, indicateurs, scoring.
• Ces boucles doivent faire par?e intégrante de votre Stratégie et elles doivent donne le ton.
24
© 2012 Consulare sàrl, tous droits réservés.
Le plan d’ac;ons et les ini;a;ves
• Un bon plan d’ac?ons garde toujours une marge de manœuvre et il n’est jamais figé au-‐delà de 6 ou 12 mois.
• Panachez toujours ac?ons et ini?a?ves sur la même période. L’une est agir maintenant et l’autre préparer la suite.
• Assurez-‐vous de « quick-‐win » sur toutes les échelles de temps du plan d’ac?on (de repor?ng).
• Panachez les par?es technologiques et processus sur toute les périodes. Les deux sont toujours liés et si vous n’avez pas iden?fié la par?e processus impacté par la technologie réfléchissez !
• Le suivi, les boucles de gouvernance, …
25
© 2012 Consulare sàrl, tous droits réservés.
Processus Menaces
Processus Audit
Processus Evaluation
Risques
Processus de Crise
Processus D’Anticipation
« selon un cours op.mum à travers des condi.ons changeantes » = surveiller comme du lait sur le feu les prodromes et les crises IT
26
GRC IN A BOX
© 2012 Consulare sàrl, tous droits réservés.
Indicateur = Métriques techniques + Métriques de Processus (Organisa;on & Personne)
27
© 2012 Consulare sàrl, tous droits réservés.
C O N S U L A R E ‘ Savoir, prévoir et décider ‘
C O N S U L A R E
Rue de la Rotisserie 8
CH-1204 Genève Suisse
[email protected] +33(0)6.60.46.30.84 +41 (0)79.915.2611 www.consulare.fr
‘ Savoir, prévoir et décider ‘
28