Sécurité et Gouvernance

Jean-Marc RobertGénie logiciel et des TI

Jean-Marc Robert, ETS MTI 719 - Sécurité et Gouvernance v1.1 2

Sécurité des systèmes d’information

� Considérer le coût des incidents suivants:� Le vol de données personnelles de clients

� La perte de réputation suite à une faille de sécurité

� La perte de propriété intellectuelle

� Une amende suite au non-respect d’une législation

� La panne d’un système transactionnel de vente suite à une panne de réseau

Jean-Marc Robert, ETS MTI 719 - Sécurité et Gouvernance v1.1 3

Intégration au cœur de l’organisation

Gouvernance de sécurité[Julia Allen –Governing for Entreprise Security]

(1) Définir des attentes claires pour la conduite (comportements et actions) de l’organisation gouvernée.

(2) Diriger, contrôler et influencer l’organisation pour qu’elle puisse atteindre ces attentes.

Jean-Marc Robert, ETS MTI 719 - Sécurité et Gouvernance v1.1 4

Intégration au cœur de l’organisation

Gouvernance de sécurité[NIST – Information Security Handbook: A Guide for Managers]

Suivre un processus (1) établissant et maintenant un cadre conceptuel(2) supportant la structure managériale et les processus de l’organisationpour fournir l’assurance que les stratégies liées à la sécurité de l’information� soient alignées sur les objectifs d’affaires� soient cohérentes avec les lois et les réglementations en vigueur� soient sous la responsabilité de personnes désignées

afin de gérer les risques de façon adéquate.

Jean-Marc Robert, ETS MTI 719 - Sécurité et Gouvernance v1.1 5

Caractéristiques d’un programme de sécurité

� Moteur� Étant basé sur l’analyse de risque

� Les objectifs d’affaires déterminent les actions à poser.

� Étant vu comme une exigence d’affaires

� Implication� Englobant toute l’organisation

� Personnes, produits, processus et procédures, politiques, technologies, information, etc.

� Rendant les dirigeants imputables et responsables� Définissant clairement les rôles et les responsabilités ainsi que séparant les

fonctions� Ayant les ressources nécessaires

� Personnel compétent, moyens financiers adéquats

� Sensibilisant et formant le personnel

Jean-Marc Robert, ETS MTI 719 - Sécurité et Gouvernance v1.1 6

Caractéristiques d’un programme de sécurité

� Déploiement� Étant décrit et mis en œuvre par des politiques et des procédures cohérentes

� Étant planifié et géré de façon intégrée� Avec les autres cycles de planification : stratégique, investissement, opérationnel

� Étant mesurable et mesuré� Particulièrement difficile. Peu de littérature sur les mesures de sécurité

� Étant intégré dans toutes les phases du cycle de développement des systèmes� Acquisition, élicitation des exigences, architecture et conception du système,

développement, tests, opération, maintenance et destruction

� Étant revu et audité de façon régulière

Jean-Marc Robert, ETS MTI 719 - Sécurité et Gouvernance v1.1 7

Porté

� La sécurité est un problème technique� Réseau technique (matériel,

logiciel, infrastructure)

� Exigences techniques (protéger le périmètre)

� Actifs matériels (ordinateurs, serveurs, bases de données)

� Spécialité technique (administrateurs système et TI)

� La sécurité est un problème de l’organisation� Réseau organisationnel

(personnes, processus, divisions opérationnelles)

� Actifs de l’organisation (données des clients, données des employés, communication)

� Exigences de l’organisation (vie privée, protection des actifs informationnels)

� Compétence maîtresse de l’organisation.

Jean-Marc Robert, ETS MTI 719 - Sécurité et Gouvernance v1.1 8

Appropriation

� Le département TI s’approprie la sécurité.� Le département TI est le premier

demandeur et bénéficiaire de la sécurité.

� Le personnel technique est responsable de la sécurité.

� Le CSO/CISO est un conseiller technique.

� L’organisation s’approprie la sécurité.� L’organisation est le demandeur et

bénéficiaire de la sécurité.� Les décideurs comprennent les

enjeux de sécurité et ont un rôle important à jouer.

� Tous les employés sont conscients de leur responsabilité face à la sécurité.

� Le CSO/CISO fait partie des décideurs de l’organisation et joue un rôle de conseiller auprès des divers intervenants.

Jean-Marc Robert, ETS MTI 719 - Sécurité et Gouvernance v1.1 9

Point de mire

� La sécurité est un point de mire occasionnel.� La sécurité n’est considérée que

lorsqu’il y a une panne ou une annonce importante.

� La sécurité n’est considérée que pour répondre à une loi ou une réglementation.

� La sécurité est intégrée aux processus de l’organisation.� La sécurité fait partie du plan

d’affaires - stratégique, investissement, opérationnel.

� L’analyse de risque est basée sur les objectifs d’affaires.

Jean-Marc Robert, ETS MTI 719 - Sécurité et Gouvernance v1.1 10

Financement

� La sécurité est une dépense.� Les gains dus à la sécurité ne sont

pas mesurés ou sont difficiles àmesurer.

� Le retour sur l’investissement n’est pas requis ou quantifiable.

� La sécurité est un investissement.� Les gains dus à la sécurité sont

mesurés.

� Le retour sur l’investissement est quantifiable en termes de chiffre d’affaires.

� Les dépenses et les investissements de sécurité font partie de tout projet ou tout processus.

Jean-Marc Robert, ETS MTI 719 - Sécurité et Gouvernance v1.1 11

Objectif

� L’objectif est la sécurité.� Les menaces, les vulnérabilités et

les moyens de protection sont les principaux objectifs.

� L’objectif est la continuité des affaires et, ultimement, la résilience.� Continuité organisationnelle

� Préservation de la réputation et de la confiance.

Jean-Marc Robert, ETS MTI 719 - Sécurité et Gouvernance v1.1 12

Gouvernance

� Analyse de risque� Fonction des objectifs d’affaires.

� Politiques de sécurité définissant les objectifs de sécurité� Fonction de l’analyse de risque et de la priorisation des risques identifiés

� Moyens de contrôle intégrés dans les processus� Protection, détection et réaction

� Audits� Vérifier si les objectifs de sécurité sont bien atteints

Jean-Marc Robert, ETS MTI 719 - Sécurité et Gouvernance v1.1 13

Programme de sécurité intégré

AO assets owner CFO chief financial officer IA/EA internal/external audit BAC board audit committee CIO chief information officer OP operational personnelBLE business line executive CPO chief privacy officer PR public RelationsBM business managers CSO chief security officer X-team Principaux dirigeantsBRC board risk committee GC general counselCA certification agent HR director human resources

Jean-Marc Robert, ETS MTI 719 - Sécurité et Gouvernance v1.1 14

Programme de sécurité intégré

Jean-Marc Robert, ETS MTI 719 - Sécurité et Gouvernance v1.1 15

Programme de sécurité intégré

Jean-Marc Robert, ETS MTI 719 - Sécurité et Gouvernance v1.1 16

Programme de sécurité intégré

Jean-Marc Robert, ETS MTI 719 - Sécurité et Gouvernance v1.1 17

Programme de sécurité intégré

Jean-Marc Robert, ETS MTI 719 - Sécurité et Gouvernance v1.1 18

Conclusion – La pointe de l’iceberg

� Cette présentation repose sur diverses publications du Software Engineering Institute(SEI) de Carnegie Mellon University (CMU).� Groupe sur la gouvernance

� Programme Networked Systems Survivability Program

� Toutefois, la gouvernance des TI est un très vaste domaine� ITIL

� CoBIT

� …

qui doit traiter de la sécurité.

� À vous de trouver le cadre le plus approprié pour vous!

Jean-Marc Robert, ETS MTI 719 - Sécurité et Gouvernance v1.1 19

Références

� Julia H. Allen, Governing for Entreprise Security, Rapport technique, Software Engineering Institute, CMU, 76 pages, 2005.

� Jody R. Westby et Julia H. Allen, Governing for Enterprise Security (GES) Implementation Guide, Rapport technique, Software Engineering Institute, CMU, 116 pages, 2007.

� Pauline Bowen, Joan Hash et Mark Wilson, Information Security Handbook: A Guide for Managers, NIST SP800-100, 178 pages, 2006.