Titre de la présentation

24 mai 2011

Jean-Louis Bleicher

Le management par le risque informatique

Quelques données

• Le chiffre d’affaires annuel de la cybercriminalité serait environ deux fois supérieur à celui du trafic de drogue (# 1000 M $)

• Parmi les cyber-attaques récentes– Turbomeca (janvier à septembre 2010) – espionnage industriel

– Bercy (décembre à mars 2011) – 150 PC « visités »– Bercy (décembre à mars 2011) – 150 PC « visités »

– Commission Européenne (mars 2011) # attaque Bercy

– Sony Online Entertainment (avril-mai 2011) – vol de données personnelles et d’informations cartes

AG AFAI 24 Mai 2011 2

De nombreuses menaces

• Cyber-attaques• Incidents d’exploitation

• Mauvaise gestion de projet• Mauvaise gestion de la productionproduction

• Mauvaise gestion des incidents• Erreurs humaines• Non respect des procédures• Défaillance d’un prestataire• Insuffisance de contrôle• Insuffisance de compétence• …

AG AFAI 24 Mai 2011 3

Risque informatique (quelques caractéristiques)

• Menaces à caractère dynamique

• Large éventail de menaces et d’événements à prendre en compte

• Prépondérance d’événements touchant à l’immatériel, difficiles à appréhender

• Impacts stratégiques, opérationnels, légaux et juridiques, financiers, sur la réputation et l’image souvent importants

AG AFAI 24 Mai 2011 4

Le risque informatique est complexe Il faut le gérer avec des outils adaptés…

pour faciliter le management par le risque informatique

Risque informatique (définition)

• Risque métier lié à l’utilisation, la possession, l’exploitation, l’implication, l’adoption ou au poids de l’informatique au sein d’une entreprise.

Il est constitué des événements qui pourraient avoir un impact sur les affaires.

(Risk IT)(Risk IT)

AG AFAI 24 Mai 2011 5

Risques de l’entreprise

Risque informatique

Risque stratégique

Risque environnemental

Risque de marché

Risque de crédit

Risque opérationnel

Risque de non-conformité

Risque informatique (catégories)

• Risk IT distingue 3 catégories de risque informatique

Génération de valeur/ bénéfices grâce à l’informatique

• Technologie génératrice de nouvelles initiatives affaire/métier

• Technologie génératrice d’efficience pour les opérations

Valeur affaire/métier

Manque à gagner

GainExemples

Risqu

e inform

atique

AG AFAI 24 Mai 2011 6

l’informatique

Réalisation de programmes et projets informatiques

Fourniture de services et exploitation informatiques

d’efficience pour les opérations

•Qualité des projets• Pertinence des projets•Maîtrise des projets

• Interruptions de service informatique

• Problèmes de sécurité• Problèmes de non-conformité

Valeur affaire/métier

Perte Préservation

Risqu

e inform

atique

Principales normes et référentiels

ISO/IEC ISO 31010

2009

ISO 310002009

AS/NZS 43602004

Management du risque Management du risque

COSO ERM2004

Management des risques de l’entrepriseCadre de référence

AIRMIC, Alarm, IRM

2010

Management des risques de l’entreprise

Référentiel

Norme

ISO 270002009

Systèmes de management de la sécurité de l'information -

Vue d'ensemble et vocabulaire

ISO 270012005

Systèmes de management de la sécurité de l'information -

Exigences

ISO 270022005

Code de bonne pratique pour le management de la sécurité de l'information

ISO 270052008

Gestion des risques en sécurité de l'information

Technologies de l'information

Techniques de sécurité

ISO/IEC Guide 73

2009

Management du risque -Vocabulaire

2009

Gestion des risques -Techniques d'évaluation

des risques

2009

Management du risque -Principes et lignes

directrices

7AG AFAI 24 Mai 2011

EBIOS2010

MEHARI2010

CRAMM2005

OCTAVE2007

Structure du référentiel Risk IT

Domaine(ex. ER)

Processus

Modèle de maturité synthétique

Modèle de maturité détaillé

AG AFAI 24 Mai 2011 8

Processus(ex. ER2)

Activité(ex. ER2.1)

détaillé

Tableau RACI

Objectifs et métriques

Éléments d’entrée/sortie

Le modèle Risk IT

3 domaines9 processus

47 bonnes pratiques

Gouvernance des risques

Etablir et maintenir une

vision commune des risques

Intégrer au management des risques de l’entreprise

Prendre en compte le risque

dans les décisions

affaire/métier

9AG AFAI 24 Mai 2011

Objectifs affaire/métier

Communication

Evaluation des risques

Collecter les données

Analyser les risques

Maintenir le profil de risque

Traitement des risques

Exprimer les risques

Gérer les risques

Réagir aux événements

ZOOM SUR 3 PROCESSUS DE RISK IT

AG AFAI 24 Mai 2011 10

GR2 : Intégrer au management des risques de l’entreprise

• Définir et maintenir l’autorité relative au management des risques informatiques

• Coordonner la stratégie en matière de risques informatiques avec la stratégie en matière de risques affaire/métier

• Harmoniser les pratiques de management des risques informatiques avec celles de management des risques de informatiques avec celles de management des risques de l’entreprise

• Fournir les ressources adéquates pour le management des risques informatiques

• Obtenir une assurance indépendante sur le management des risques informatiques

AG AFAI 24 Mai 2011 11

Intégration

Management des risques informatiques : responsabilité et autorité

Acteur

Gouvernance des risques

Evaluation des risques

Traitement des risques

Vision

com

mun

e des risqu

es

Intégration au MRE

Décisions tenant com

pte des

risqu

es

Collecter les do

nnées

Analyser les risques

Maintenir le profil de ris

que

Exprimer les ris

ques

Gérer les risqu

es

Réagir aux événements

Conseil d’administration

L’acteur porte la responsabilité et/ou a une autorité partielle

L’acteur a toute autorité sur le processus

AG AFAI 24 Mai 2011 12

Conseil d’administration

Président Directeur Général ou Directeur Général – DG (CEO)

Directeur des risques – DR (CRO)

Directeur Informatique – DI (CIO)

Directeur financier – DF (CFO)

Comité des risques de l’entreprise

Responsable affaire/métier

Propriétaire de processus affaire/métier

Fonctions de contrôle des risques

Directeur des Ressources Humaines (DRH)

Conformité et Audit

ER2 : Analyser les risques

• Définir le périmètre de l’analyse des risques informatiques

• Estimer les risques informatiques

• Identifier les options de traitement des risques

• Faire faire une revue de l’analyse des risques par un pair

AG AFAI 24 Mai 2011 13

Appréciation

Appréciation des risques

Estimer la fréquence Risque

Tolérance au risque

Scénarios de risque informatique

AG AFAI 24 Mai 2011 14

fréquence et l’impact

Analyse des

risques

Risqueinformatique spécifiques et affinés

Appréciation des risques

• Risk IT propose une méthode d’analyse des risques basée sur l’analyse de scénarios

• Risk IT propose des aides pour évaluer la fréquence et l’importance des risques pour les affaires/métiers

Evénement• Divulgation Interruption • Modification

AG AFAI 24 Mai 2011 15

[Acteur]• Interne (personnel, sous-traitant) • Externe (concurrent, étranger, partenaire affaire/métier, régulateur, marché)

Eléments temporels• Durée • Périodicité d’occurrence (critique, non-critique)• Temps de détection

Scénario de risque

Type de menace• Malveillance• Accident/erreur • Défaillance• Naturelle • Exigence externe

• Modification• Vol • Destruction • Conception inefficace• Exécution inefficace • Règles et réglementations• Mauvaise utilisation

Actif / Ressource• Personnes et organisation • Processus• Infrastructure (installations) • Infrastructure informatique • Information • Applications+

+

+

+

Scénarios génériques RISK IT

1 Choix de programme informatique

2 Nouvelles technologies

3 Choix de technologie

4 Prise de décision en matière d’investissement informatique

5 Responsabilité informatique

6 Intégration informatique au sein des processus affaire/métier

7 État de l’infrastructure technique

8 Ancienneté du logiciel applicatif

19 Personnel informatique

20 Expertise et compétence informatique

21 Intégrité du logiciel

22 Infrastructure (matériel)

23 Performance logiciel

24 Capacité système

25 Ancienneté de l’infrastructure logicielle

26 Logiciel malveillant

AG AFAI 24 Mai 2011 16

8 Ancienneté du logiciel applicatif

9 Agilité et flexibilité de l’architecture

10 Conformité règlementaire

11 Implémentation de logiciel

12 Fin de projet informatique

13 Coût de projet informatique

14 Réalisation de projet

15 Qualité projet

16 Choix/ performance des tiers fournisseurs

17 Vol d’infrastructure

18 Destruction d’infrastructure

26 Logiciel malveillant

27 Attaques logicielles

28 Supports d’information

29 Performance des services publics

30 Action revendicative

31 Intégrité des (bases de) données

32 Intrusion logique

33 Erreurs d’exploitation informatique

34 Conformité contractuelle

35 Environnement

36 Catastrophes naturelles

TR2 : Gérer les risques

• Inventorier les contrôles

• Surveiller l’alignement opérationnel sur les seuils de tolérance au risque

• Traiter les expositions aux risques et les opportunités découvertes

• Mettre en place des contrôles

• Réaliser un rapport sur la progression du plan d’actions concernant les risques informatiques

AG AFAI 24 Mai 2011 17

Traitement

Traitement des risques

Risques dépassant le niveau de tolérance

Choisir les options de traitement des risques

Options de traitement des risques

Paramètres de sélection du traitement des risques

Coût de traitement pour ramener les risques dans les niveaux de tolérance

Ampleur des risques

Capacité à mettre en œuvre le traitement

Analyse des risques

AG AFAI 24 Mai 2011 18

1. Eviter 2. Réduire/Atténuer

3. Partager/Transférer 4. Accepter

œuvre le traitement

Efficacité du traitement

Efficience du traitement

Traitement des risques

Hiérarchiser les options de traitement

des risques

Traitements des risques hiérarchisés

Plan d’actions concernant les

risques

Hiérarchisation du traitement des risques

Étude d’opportunité

Étude d’opportunité

Gain rapide

Ne rien faire

Ratio efficacité/coûtNiveau de

risq

ue actue

l

Réduction des risques

• Risk IT capitalise sur les bonnes pratiques de contrôle et de management de COBIT et Val IT

Contrôle indispensable

Référence du contrôle

Libellé du contrôle

Objectif de contrôle COBIT / Pratique clé de management Val IT

Effet sur la

fréquence

Effet sur l’impact

1. Choix de programme informatique

Oui PO1 PO1.1 Gestion de la valeur

Travailler avec les affaires/métiers pour s’assurer que le portefeuille d’investissements informatiques de l’entreprise contient des programmes ou

Important

AG AFAI 24 Mai 2011 19

valeur informatique

d’investissements informatiques de l’entreprise contient des programmes ou projets dont les analyses de rentabilité sont solides. Reconnaître qu’il y a des investissements obligatoires, indispensables et discrétionnaires qui diffèrent en complexité et en degré de liberté pour ce qui est de l’attribution des crédits. Les processus informatiques doivent fournir aux programmes des composants informatiques efficaces et efficients et des alertes, au plus tôt, pour tout écart par rapport au plan, par exemple, en ce qui concerne les coûts, les délais et les fonctionnalités, susceptible d’avoir des conséquences sur les résultats attendus des programmes. Les services informatiques doivent être rendus sur la base de contrats de services (CS ou Service Level Agreement SLA) équitables et applicables. La responsabilité finale de l’obtention des bénéfices et du contrôle des coûts est clairement assignée et supervisée. Établir une appréciation juste, transparente, reproductible et comparable des analyses de rentabilité qui tient compte de la valeur financière, du risque de ne pas fournir une capacité et de ne pas réaliser les bénéfices attendus.

Contenu de Risk IT

• Le Référentiel Risk IT– Description du modèle (domaines, processus, activités)– Modèles de maturité, tableaux RACI, objectifs et métriques, éléments d’entrée/sortie

• Le Guide Utilisateur Risk IT– Guide pratique de mise en place du management des risques informatiques dont

–informatiques dont • Description des scénarios génériques et du traitement des risques à l’aide de COBIT et Val IT

– Comparaison de Risk IT avec COSO ERM, ISO 31000 et ISO 27005

• Outils complémentaires du Guide Utilisateur– 7 documents Word d’aide à la mise en œuvre

AG AFAI 24 Mai 2011 20

AFAI, ISACA et Risk IT

• L’AFAI a réalisé l’adaptation en français de Risk IT avec la participation de chapitres francophones

• L’ISACA a mis en place une certification spécifique– Parrainage jusqu’au 30 juin 2011

• L’AFAI proposera une formation au management des risques informatiques basée sur Risk IT dans le courant du second semestre 2011

AG AFAI 24 Mai 2011 21